界面劫持之拖放劫持

最新推荐文章于 2024-08-29 14:09:27 发布
最新推荐文章于 2024-08-29 14:09:27 发布
阅读量119 收藏
点赞数
分类专栏: 界面劫持 漏洞原理 WEB安全 文章标签: web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/d59hao/article/details/131421904
版权

01拖放劫持发展历程

在2010的Black Hat Europe大会上,Paul Stone提出了点击劫持的技术演进版本:拖放劫持。由于用户需要用鼠标拖放完成的操作越来越多(如复制粘贴、小游戏等等),拖放劫持大大提高了点击劫持的攻击范围,将劫持模式从单纯的鼠标点击拓展到了鼠标拖放行为。

最主要的是,由于拖放操作不受浏览器“同源策略“影响,用户可以把一个域的内容拖放到另一个不同的域,由此攻击者可能通过劫持某个页面的拖放操作实现对其他页面链接的窃取,从而获得session key,token,password等敏感信息,甚至能将浏览器中的页面内容拖进文本编辑器,查看源代码。

2011年出现的Cookiejacking攻击就是拖放攻击的代表,此攻击的成因是由于本地Cookie可以用<iframe>标签嵌入,进而就可以利用拖放劫持来盗取用户的Cookie。在JavaScript或者Java API的支持下,这个攻击过程会变得非常隐蔽。因为它突破了传统ClickJacking一些先天的局限,所以这种新型的"拖拽劫持"能够造成更大的破坏。

02拖放劫持核心思路

"拖放劫持"的思路是诱使用户从隐藏的不可见iframe中"拖拽"出攻击者希望得到的数据,然后放到攻击者能控制的另外一个页面中,从而窃取数据。(突破同源限制)

03拖放劫持技术原理

1、支持Drag&Drop API

主流的浏览器都有drag-and-drop API 接口,供网站开发人员创建交互式网页。但是,这些 API 接口在设计时没有考虑很多的安全性问题,导致通过拖拽就可

最低0.47元/天 解锁文章
第59号实验室
关注
专栏目录
Web安全拖放劫持
墨痕诉清风的博客
03-14 313
拖放劫持发展历程: 在2010的Black Hat Europe大会上,Paul Stone提出了点击劫持的技术演进版本:拖放劫持。由于用户需要用鼠标拖放完成的操作越来越多(如复制粘贴、小游戏等等),拖放劫持大大提高了点击劫持的攻击范围,将劫持模式从单纯的鼠标点击拓展到了鼠标拖放行为。 最主要的是,由于拖放操作不受浏览器“同源策略“影响,用户可以把一个域的内容拖放到另一个不同的域,由此攻击者可能通过劫持某个页面的拖放操作实现对其他页面链接的窃取,从而获得session key,token,password
界面劫持与反界面劫持
lolipopshitting的专栏
03-20 652
梆梆安全移动应用开发手札之反界面劫持   界面劫持,顾名思义就是正常应用的界面被恶意攻击者劫持,替换上仿冒的恶意界面作恶。界面劫持类攻击极具迷惑性很难被识别出来,界面劫持攻击不仅会给用户带来严重损失,更是移动应用开发者们的恶梦。好消息是,通过本篇梆梆安全移动应用开发手札开发者会发现,借助安全插件可以有效防范APP遭遇界面劫持攻击。 界面劫持类攻击由来已久,而且这类攻击主要瞄准了用户的金融类交
界面操作劫持
LuckXinXin的博客
10-22 328
界面操作劫持的分类:—从用户操作行为分类 1)点击劫持—在用户点击时发生的劫持攻击事件 2)拖放劫持—在用户拖动操作时发生的劫持攻击事件 界面操作劫持是利用视觉欺骗,诱导用户操作。比如在可见的输入框中覆盖一个不可见的框(如一个不可见的iframe),用户点击输入框时,其实是点击了不可见框中的内容,从而让用户做出了一些非自己意愿的操作。这些操作有可能造成了用户敏感信息的泄露、数据丢失等后果 实现不可...
第5章 前端黑客之界面操作劫持
凯凯王的技术生涯
03-19 670
    5.1 界面劫持操作概述        界面操作劫持是通过网页的可见输入控件上覆盖一个不可见的框,使得用户误以为在操作可见控件,而实际上用户的操作行为被其不可见的框,使得用户误以为在操作可见控件,而实际上用户的操作行为被其不可见的框所劫持,执行不可见框中的恶意劫持代码,从而完成在用户不知情的情况下窃取敏感逆袭,篡改数据等攻击。        点击劫持拖放劫持、触屏劫持        5....
界面操作劫持与HTML5安全
weixin_34303897的博客
04-17 177
一、界面操作劫持1)ClickJackingClickJacking点击劫持,这是一种视觉上的欺骗。***者使用一个透明的、不可见的iframe,覆盖在网页的某个位置上,诱使用户点击iframe。2)TapJacking现在移动设备的使用率越来越高,针对移动设备的特点,衍生出了TapJacking(触屏劫持)。手机上的屏幕范围有限,手机浏览器为了节约空间,可以隐藏地址栏,手机...
界面操作劫持攻击原理与防御方法
weixin_34249367的博客
08-05 276
1. 攻击原理 界面劫持,分为点击劫持拖放劫持、触屏劫持。就是我们的点击,拖放,触屏操作被劫持了,而去操作了其它的透明隐藏的界面。其原理是利用透明层+iframe,使用了css中的opacity和z-index等属性,来到达透明和位于其它界面的上方,然后使用iframe来嵌入劫持页面。到达了用户操作的不是它看到的,不是他以为的那个界面,而是那个透明的位于上层的界面。 2. 防御方法 有重要...
界面劫持之点击劫持
d59hao的博客
06-13 660
界面操作劫持攻击实际上是一种基于视觉欺骗的 web 会话劫持攻击,核心在于使用了标签中的透明属性,他通过在网页的可见输入控件上覆盖一个不可见的框,使得用户误以为在操作可见控件,而实际上用户的操作行为被其不可见的框所劫持,执行不可见框中的恶意代码,达到窃取信息,控制会话,植入木马等目的。因为首先劫持的是用户的鼠标点击操作,所以命名叫点击劫持。最新版本的浏览器提供很多防御点击劫持漏洞的安全机制,对于普通的互联网用户,经常更新修复浏览器的安全漏洞,能够最有效的防止恶意攻击。
界面劫持之触屏劫持
d59hao的博客
07-04 141
而该漏洞的成因就是运用了触屏劫持,由于易受攻击的Android版本无法检测到部分隐藏的SystemUI弹窗,这使得攻击者可以制作一个恶意应用程序,在SystemUI弹窗上重叠一个窗口,最终使得恶意应用程序的权限提升,进而实施攻击。点击Start,将加载一个image图像,同时触发一个模拟权限获取的提示框,并将提示框的主体背景设为透明,同时将刚刚加载的伪造消息提示的图像覆盖到权限提示框上,仅留下权限提示框的确认按钮,这样用户就误以为自己在点击信息提示的确认,其实是再点权限确认。权限提示框(完整的)
Web前端安全攻防:XSS、CSRF与界面劫持解析
第5章介绍了界面操作劫持,如点击劫持拖放劫持和触屏劫持,详细解析了这些技术的工作原理和实例,展示了如何通过这些手段对用户界面进行操控。 第6章是漏洞挖掘的深度研究,讲解了如何发现和利用普通XSS、DOM XSS...
HTML5安全攻防之劫持攻击
蔚可云的博客
03-07 378
ClickJacking-点击劫持 这种攻击方式正变得越来越普遍。被攻击的页面作为iframe,用Mask的方式设置为透明放在上层,恶意代码偷偷地放在后面的页面中,使得一个页面看起来似乎是安全的,然后诱骗用户点击网页上的内容,达到窃取用户信息或者劫持用户操作的目的。下图中,欺诈的页面放置在下层,被攻击的银行页面作为透明的层放置在上层,用户看到的是欺诈页面上显示的信息并进行输入和点击,但是真正的用户行为是发生在银行页面上的。 想象一下,点击劫持可以诱使你发布一条虚假微博、或者发送一封虚假邮件甚至.
activity劫持
09-17
activity劫持演示文档和apk
如何处理网站页面劫持、网站页面劫持原理及解决方法
qnewaa的博客
01-14 8071
2018年12月6日,百度搜索资源平台发布了一篇名为《关于近期出现网站劫持用户问题的公告》,也就是说,虽然我们在不断变化算法规则,但还是有不法分子在钻算法规则的漏洞。对于网站劫持,相信做互联网的大部分人都不陌生,通俗点说就是你的网站被黑了,网站出现不明广告页面,或者就是无法跳转到其他页面。做SEO我们除了要学习搜索引擎不断推出的各种算法规则,同时也要学会如何应对突发事件,比如如何处理网站劫持。 首先,我们来了解一下关于网站劫持的一些具体问题情况: 1、域名被泛解析。也就是说当你搜索A网站的时候出现的却是毫不
app安全:如何应对界面劫持
听风-Android进阶
03-03 2万+
app安全:如何应对界面劫持 app安全如何应对界面劫持 界面劫持的原理 解决办法 具体实施 在Activity的各生命周期中启动或者停止服务在onResume中开启service在onStart和onDestory中关闭service 编写具体的Service逻辑 在onStart中执行timer 具体效果如图 补充内容写这篇文章是因为,公司的项目对安全性要求较高一些,所以每年都会不定时把app提
怎么劫持html页面,界面操作劫持与HTML5安全的图文详解
weixin_34639033的博客
06-04 812
一、界面操作劫持1)ClickJackingClickJacking点击劫持,这是一种视觉上的欺骗。攻击者使用一个透明的、不可见的iframe,覆盖在网页的某个位置上,诱使用户点击iframe。2)TapJacking现在移动设备的使用率越来越高,针对移动设备的特点,衍生出了TapJacking(触屏劫持)。手机上的屏幕范围有限,手机浏览器为了节约空间,可以隐藏地址栏,手机上的视觉欺骗会更加容易实...
Android之Activity界面劫持劫持
热门推荐
LVXIANGAN的专栏
02-09 2万+
总结: Activity劫持原理1、注册一个receiver,响应android.intent.action.BOOT_COMPLETED,使得开机启动一个service;这个service,会启动一个计时器,不停循环查询所有当前运行的进程(因为app可以枚举系统当前运行进程而无需声明其他权限) 2、一旦发现当前某一进程的Activity正是我们想要劫持的,并运行在前台,我们立马使用FLAG_A...
深入理解点击劫持(Clickjacking)漏洞及其防御
最新发布
TechEnthusiast的博客
08-29 178
点击劫持,也称为UI覆盖攻击或界面伪装攻击,是一种视觉欺骗类的网络攻击。攻击者通过在看似无害的网页上覆盖一个透明的层,诱导用户在不知情的情况下点击隐藏的、可能有害的元素。
点击劫持技术原理简述
m0_38103658的博客
08-15 3055
界面劫持概念简述: 界面操作劫持攻击实际上是一种基于视觉欺骗的web会话劫持攻击,核心在于使用了标签中的透明属性,他通过在网页的可见输入控件上覆盖一个不可见的框,使得用户误以为在操作可见控件,而实际上用户的操作行为被其不可见的框所劫持,执行不可见框中的恶意代码,达到窃取信息,控制会话,植入木马等目的。 界面劫持发展过程: (点击劫持)点击劫持又称UI-覆盖攻击,是2008年由互联网安全专家罗伯特·...
activity劫持劫持
nailsoul的专栏
09-17 2万+
1、Activity调度机制 android为了提高用户的用户体验,对于不同的应用程序之间的切换,基本上是无缝。他们切换的只是一个activity,让切换的到前台显示,另一个应用则被覆盖到后台,不可见。Activity的概念相当于一个与用户交互的界面。而Activity的调度是交由Android系统中的AmS管理的。AmS即ActivityManagerService(Activity管理服
界面操作劫持的漏洞挖掘
thislocal的博客
03-23 950
1、目标的HTTP响应头是否设置好了X-Frame-Options字段; 2、目标是否有JavaScript的Frame Busting机制; 3、更简单的就是用iframe嵌入目标网站试试,若成功,则说明漏洞存在。
app界面劫持总结
qq_2790289459的博客
05-15 1029
界面劫持的出现操作 1.注册一个receiver,响应android.intent.action.BOOT_COMPLETED,开机启动 2.receiver中启动一个Service 3.在这个service中启动一个计时器,不停枚举当前进程中是否有预设的进程启动,如果发现有预设进程,则使用FLAG_ACTIVITY_NEW_TASK启动自己的钓鱼界面,而正常应用的界面则隐藏在钓鱼界面的后面。 解决办法 这是系统漏洞,在应用程序中很难去防止这种界面支持。但应用程序自身可以增加一些防范实施。 防范实施
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值