网页劫持

最新推荐文章于 2024-01-19 10:01:23 发布
最新推荐文章于 2024-01-19 10:01:23 发布
阅读量496 收藏 1
点赞数
原文链接:https://blog.csdn.net/u010644262/article/details/79476683
版权

web前端安全除了平常的XSS、CSRF外还存在一种安全问题就是网页劫持。所谓的网页劫持就是非法的网页被修改拦截了。来看下面的具体解释。

什么是网页劫持:

    使用HTTP请求请求一个网站页面的时候,网络运营商会在正常的数据流中插入精心设计的网络数据报文,让客户端(通常是浏览器)展示“错误”的数据,通常是一些弹窗,宣传性广告或者直接显示某网站的内容。

分类

 I、

跳转型劫持
:用户输入地址A,但是跳转到地址B

 II、

注入型劫持
:过在正常的网页中注入广告代码(js、iframe等),实现页面弹窗提醒或者底部广告等。

      1),注入js类劫持:在正常的页面注入js代码实现劫持。

      2),iframe类劫持:将正常网页嵌套iframe或者页面增加iframe。

      3),篡改页面类劫持:正常页面出现多余的劫持网页标签,导致页面整体大小发生变化。

防御

 1.  跳转型劫持,若用单纯靠Web页面进行检测比较困难

 2.  注入JS类:

       1)

改写document.write方法

       2)

遍历页面script标签,给外链JS增加白名单,不在白名单内js外链都上报

 3.iframe类:

比较window.self 和window.top 或 比较parent 和 window,同时可增加白名单

       获取正确地址

        function getCorrectUrl() {

            var url ; 

             if(parent != window) {

                 try   {

                    url = parent.location.href;

                 }catch(){ 

                     url = document.referrer

                 }

             }

         }

  4.特殊方式

     类似电信捏造在白名单内的js URL和篡改页面内容的,我们用上面提到的方法检测不到这些信息,如果是在APP内,可以做的事情就比较多了,除了上面之外,还可以比较页面的 content-length。

 script内核心代码如下:

function
hiJackSniffer
()

var
files

$
.
toArray
(
D
.
querySelectorAll
(
‘script[src]’
));

var
arr
=[];

for
(
var
i

0
,
len

files
.
length
;
i
<
len
;
i
++){

     files

[
i
].
src
&&
arr
.
push
(
files
[
i
].
src
);

}

if
(
arr
.
length
){

     return

sendImg
(
arr
,
1
);

}

arr

getParentUrl
();

if
(
arr
&&
arr
.
length
){

//被嵌入iframe

return
sendImg
([
arr
],
2
);

   }

if
(
D
.
documentElement
.
outerHTML
.
length

4e3
){

var
tmp
={};

var
headjs

$
.
toArray
(
D
.
head
.
querySelectorAll
(
‘script’
));

      var

unknownCode
=[];

if
(
headjs
.
length
){

            unknownCode

=
unknownCode
.
concat
(
headjs
.
map
(
function
(
v
){

        return

v
.
innerHTML
;

}).
filter
(
function
(
v
){

         return

!!
v
;

       }));

      }

     var

body

$
.
toArray
(
D
.
body
.
querySelectorAll
(
‘*’
));

if
(
body
.
length

1
){

        unknownCode

=
unknownCode
.
concat
(
body
.
map
(
function
(
v
)

return
v
.
outerHTML
.
split
(
‘\n’
).
join
(
‘’
)

}).
filter
(
function
(
str
){

if
(
/^

return false
;

}

return true
;

}));

}

return
sendImg
(
unknownCode
,
3
);

}

        sendImg

([],
0
);

}

漏洞挖掘

1)目标的HTTP响应头是否设置好了X-Frame-Options字段

     确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击

DENY
:标示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许

sameorigin
: 表示该页面可以在相同域名页面的 frame 中展示。

allow-from uri
:表示该页面可以在指定来源的 frame 中展示。

2)目标是否有javascript的Frame Busting机制

3)尝试用iframe嵌入网站
douya0012
关注
什么是网页劫持,常见的劫持手法有哪些?
huazai520064的博客
12-31 5356
一、服务端劫持 服务端劫持的方法就是修改网站动态语言文本,改变了每次访问网页从服务端获取到的网页代码。判断访问来源控制返回内容,从来达到网站劫持的目的。 二、客户端劫持 客户端劫持的手法也很多,但主要就是2种:js劫持、Header劫持。每次访问网页从服务端获取到的网页代码都是相同的,只是控制了网页代码在浏览器中呈现的效果。 IIS7网站监控可以及时防控网站风险,快速准确监控网站是否遭到各种劫持攻击,网站在全国是否能正常打开(查看域名是否被墙),精准的DNS污染检测,具备网站打开速度检测功能,第一时间知道网
JS劫持、DNS劫持与页面劫持跳转详解
最新发布
weixin_65409651的博客
07-22 872
JS劫持(JavaScript Hijacking)是一种通过恶意JavaScript代码控制或篡改网页内容的攻击手段。攻击者可以注入恶意代码,劫持用户的操作,窃取敏感信息或执行未授权的操作。DNS劫持(DNS Hijacking)是一种通过篡改域名系统(DNS)解析结果,将用户重定向到恶意网站的攻击手段。攻击者可以通过多种方式实现DNS劫持,包括修改DNS设置、攻击DNS服务器或通过恶意软件感染用户设备。
网站被劫持怎么办,怎么解决
dexunxiaoqian的博客
01-19 560
浏览器被劫持是一个很常见的安全问题,造成了很多用户的困扰。针对这种问题,本文提出了解决方案和避免方法。在日常使用浏览器的过程中,用户也应该注意保障浏览器的安全,不要轻易下载陌生软件,注意不要点击可疑链接,以保障自己的计算机系统安全。
web网页劫持是如何做到的、网页劫持是怎么做到的
chenchen199711的博客
12-16 3999
前几天看到一篇写js文件反劫持的文章,想起15年主导做百度搜索结果页面反劫持项目做得一些研究,整理成文章,跟大家分享。 常见劫持手段 按照劫持的方法不同,我将劫持分为下面两类: 跳转型劫持:用户输入地址A,但是跳转到地址B 注入型劫持:有别于跳转型型劫持,指通过在正常的网页中注入广告代码(js、iframe等),实现页面弹窗提醒或者底部广告等,又分为下面三个小类: 注入js类劫持:在正常页面注入劫持的js代码实现的劫持 iframe类劫持:将正常页面嵌入iframe或者页面增加iframe页面 篡改页面类劫
网站被劫持
caishu1995的博客
01-09 1434
   【ps:我的网站发布之后,居然被人加广告了,是谁?!气死我啦。。。】     这几天我自己的网站,发到了公司的官网上。测试手机端的时候居然发现被加广告了。那肿么办呢?     来,深呼吸。【世界如此美好,我却如此暴躁,这样不好不好】       第一步:检查代码,尤其是js等非静态代码。因为有时候连接那些网址 getscript?v=1.1&amp;ak=8&amp;services...
浏览器网页劫持
m0_57548018的博客
03-31 683
网页劫持
网页劫持与防范教程.zip
01-20
首先,我们来理解什么是网页劫持。攻击者通常通过中间人攻击(Man-in-the-Middle, MITM)手段,利用网络中数据传输的漏洞,获取并篡改用户与服务器之间的通信内容。例如,当用户访问一个网站时,攻击者可以伪造...
黑色浏览器 防止网页劫持
08-13
【标题】:“黑色浏览器 防止网页劫持”指的是这款浏览器软件采用了特定的设计和功能,旨在保护用户免受网页劫持的困扰。网页劫持通常是指恶意软件或不法分子通过各种手段篡改用户的浏览体验,比如强制重定向到钓鱼...
网络劫持是什么?网页被篡改劫持怎么修复(终级方案)网页劫持如何修复?
douya0012的博客
01-13 4972
目前我们遇到的网络劫持大多是运营商劫持,也就是http劫持,首先来说说运营商劫持的背景: 中国的网络环境相对复杂,除了电信、联通、移动是比较大的网络接入厂商,此外包含长城宽带、鹏博士、教育网、科技网、广电等等不少于20多家的小运营商。而且各个省市是相互独立运营。这就会导致网络出现跨网、跨运营商的情况会特别多,基本上很难避免。而各个运营商之间的出口带宽不尽相同,这很能是成为网络高峰的瓶颈。同时这种大量跨网访问的流量,在运营商之间会产生一笔很大的结算费用。也就是说运营商之间的互通是需要收费的。 作为运营商,面
新型Web劫持技术
weixin_30552635的博客
08-21 139
该类新型Web劫持是利用script脚本实现的。在已知的案例中,黑客入侵了某地方门户网站,篡改了该网站的新闻页面,并向这些页面植入自己的广告、新闻及恶意代码。一旦用户从搜索结果页面点击进入被篡改过的新闻页面,script脚本就会用假页面置换原搜索结果页面。因为该黑客使用了与原搜索引擎极其近似的域名,并阻止浏览器的后退功能退回原页面,所以一般用户很难察觉自己打开的网站已经被调包了。 下面我们自...
网站被劫持怎么办?劫持的原因有什么?
dexunjiaqiang的博客
01-02 1048
网站劫持是一种互联网攻击方式,通过攻击域名解析服务器(DNS)或伪造域名解析服务器(DNS),将目标网站域名解析到错误的IP地址,从而使得用户无法正常访问目标网站,或者被引导到恶意网站,以达到劫持者的目的。
网页劫持了该怎么办?dns被劫持如何修复?网页劫持介绍
douya0012的博客
01-02 4461
如果你打开网页,结果跳转到别的网页上,那毫无疑问,你被网页劫持了。出现这种情况的原因一般有四种,不过今天小编要为大家介绍的是如何解决这个网页劫持的问题。 网页劫持介绍   所谓的网站劫持就是打开一个网站,出现一个不属于网站范畴的广告,或者是无法跳转到某个不属于这个范畴的网页。   导致出现网页劫持的原因:   1、网站域名泛解析。   简单的说就是当你把域名放到搜索引擎里的时候,出来的页面与网站的业务没有多少关系。   2、浏览器被劫持。 网站浏览器被劫持就是当你使用一些浏览器的时候,会自动出现一个浏览器的
网站被劫持了怎么办?
热门推荐
qq_63574811的博客
06-01 1万+
网站被劫持就是一旦打开可能从不同方式打开就会展现到不一样的页面,那么遇见这样的情况我们要如何去解决呢?首先我们要了解网站被劫持的方式:网站被劫持的方式:  1、网站泛解析劫持:由于我们打开的域名泛解析就是域名前缀的任何字眼都可以匹配到网站,这样就对入侵者有乘机的机会,只要植入泛解析木马文件即可产生无数不相关的页面。  2、浏览器劫持:浏览器一般会自带很多广告,在访问我们网站的时候弹出会给予我们以为是当前页面的内容,其实不是,这种情况属于流氓浏览器,现在比较少见。  3、入侵篡改劫持:网站全部内容被修改甚至会
如何处理网站页面劫持、网站页面劫持原理及解决方法
qnewaa的博客
01-14 7791
2018年12月6日,百度搜索资源平台发布了一篇名为《关于近期出现网站劫持用户问题的公告》,也就是说,虽然我们在不断变化算法规则,但还是有不法分子在钻算法规则的漏洞。对于网站劫持,相信做互联网的大部分人都不陌生,通俗点说就是你的网站被黑了,网站出现不明广告页面,或者就是无法跳转到其他页面。做SEO我们除了要学习搜索引擎不断推出的各种算法规则,同时也要学会如何应对突发事件,比如如何处理网站劫持。 首先,我们来了解一下关于网站劫持的一些具体问题情况: 1、域名被泛解析。也就是说当你搜索A网站的时候出现的却是毫不
怎么劫持html页面,界面操作劫持与HTML5安全的图文详解
weixin_34639033的博客
06-04 638
一、界面操作劫持1)ClickJackingClickJacking点击劫持,这是一种视觉上的欺骗。攻击者使用一个透明的、不可见的iframe,覆盖在网页的某个位置上,诱使用户点击iframe。2)TapJacking现在移动设备的使用率越来越高,针对移动设备的特点,衍生出了TapJacking(触屏劫持)。手机上的屏幕范围有限,手机浏览器为了节约空间,可以隐藏地址栏,手机上的视觉欺骗会更加容易实...
网页点击劫持科普
Yrish的博客
07-13 770
点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。它是通过覆盖不可见的框架误导受害者点击。虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。这种攻击利用了HTML中 <iframe> 标签的透明属性。特征 1、点击劫持是一种恶意攻击技术,用于跟踪网络用户,
服务器上网站被劫持,网站被劫持怎么办,网页劫持快速解决办法
weixin_33309848的博客
08-10 1892
当谈到DNS劫持,不免就有人问了,什么是DNS劫持,DNS劫持有什么后果,DNS被劫持了怎么解决?今天我会尽量给你一个通俗易懂的答复,耐心看。一. 什么是DNS劫持?DNS,是Domain Name System的缩写,翻译成域名系统。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS最主要的作用就是将域名翻译成ip地址。所以这个过程一旦被入侵劫持,用户就无法正常...
防治关键词劫持:解析HTTP响应与编码转换
"该资源涉及的是一个网页劫持跳转问题,特别是针对百度搜索关键词的。在代码中,检查了HTTP请求的REFERER头部是否包含特定的关键词(keywords1-keywords5),如果包含则可能执行劫持跳转操作。同时,提供了一段...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值