白帽子讲Web安全(第 5 章 点击劫持( ClickJacking ))

最新推荐文章于 2023-02-04 17:00:00 发布
最新推荐文章于 2023-02-04 17:00:00 发布
阅读量257 收藏
点赞数
分类专栏: 读书笔记 文章标签: 安全 java web net 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oschina_40326659/article/details/107856243
版权

第 5 章 点击劫持( ClickJacking )

2008 年,安全专家 Robert Hansen 与 Jeremiah Grossman 发现了一种被他们称为“ ClickJacking ”(点击劫持)的攻击,这种攻击方式影响了几乎所有的桌面平台,包括 IE、Safari、Firefox、Opera 以及 Adobe Flash。两位发现者准备在当年的 OWASP 安全大会上公布并进行演示,但包括 Adobe 在内的所有厂商,都要求在漏洞修补前不要公开此问题。

5.1 什么是点击劫持

点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的 iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的 iframe 页面。通过调整 iframe 页面的位置,可以诱使用户恰好点击在 iframe 页面的一些功能性按钮上。

点击劫持攻击与 CSRF 攻击有异曲同工之妙,都是在用户不知情的情况下诱使用户完成一些动作。但是在 CSRF 攻击的过程中,如果出现用户交互的页面,则攻击可能会无法顺利完成。与之相反的是,点击劫持没有这个顾虑,它利用的就是与用户产生交互的页面。

5.2 Flash 点击劫持

攻击者制作了一个 Flash 游戏,并诱使用户来玩这个游戏。这个游戏就是让用户去点击“ CLICK ” 按钮,每次点击后这个按钮的位置都会发生变化。最终通过这一步步的操作,打开了用户的摄像头。

5.3 图片覆盖攻击

点击劫持的本质是一种视觉欺骗。顺着这个思路,还有一些攻击方法也可以起到类似的作用,比如图片覆盖。

一名叫 sven.vetsh 的安全研究者最先提出了这种 Cross Site Image Overlaying 攻击,简称 XSIO。

XSIO 不同于 XSS,它利用的是图片的 style,或者能够控制 CSS。如果应用没有限制 style 的 position 为 absolute 的话,图片就可以覆盖到页面上的任意位置,形成点击劫持。

由于 <img> 标签在很多系统中是对用户开放的,因此在现实中有非常多的站点存在被 XSIO 攻击的可能。在防御 XSIO 时,需要检查用户提交的 HTML 代码中, <img> 标签的 style 属性是否可能导致浮出。

5.4 拖拽劫持与数据窃取

目前很多浏览器都开始支持 Drag & Drop 的 API。对于用户来说,拖拽使他们的操作更加简单。浏览器中的拖拽对象可以是一个链接,也可以是一段文字,还可以从一个窗口拖拽到另外一个窗口,因此拖拽是不受同源策略限制的。

“拖拽劫持”的思路是诱使用户从隐藏的不可见 iframe 中“拖拽”出攻击者希望得到的数据,然后放到攻击者能控制的另外一个页面中,从而窃取数据。

5.5 ClickJacking 3.0:触屏劫持

到了 2010 年 9月,智能手机上的“触屏劫持”攻击被斯坦福的安全研究者公布,这意味着 ClickJacking 的攻击方式更进一步。安全研究者将这种触屏劫持称为 TapJacking。

比如一次触屏操作,可能会对应以下几个事件:

  • touchstart:手指触摸屏幕时发生;
  • touchend:手指离开屏幕时发生;
  • touchmove:手指滑动时发生;
  • touchcancel:系统可取消 touch 事件。

通过将一个不可见的 iframe 覆盖到当前网页上,可以劫持用户的触屏操作。

5.6 防御 ClickJacking

ClickJacking 是一种视觉上的欺骗,那么如何防御它呢?针对传统的 ClickJacking,一般是通过禁止跨域的 iframe 来防范。

5.6.1 frame busting

通常可以写一段 JavaScript 代码,以禁止 iframe 的嵌套。这种方法叫 frame busting。

但是 frame busting 也存在一些缺陷。由于它是用 JavaScript 写的,控制能力并不是特别强,因此有许多方法可以绕过它。

比如针对 parent.location 的 frame busting,就可以采用嵌套多个 iframe 的方法绕过。

像 HTML 5 中 iframe 的 sandbox 属性、IE 中 iframe 的 security 属性等,都可以限制 iframe 页面中的 JavaScript 脚本执行,从而可以使得 frame busting 失效。

5.6.2 X-Frame-Options

因为 frame busting 存在被绕过的可能,所以我们需要寻找其他更好的解决方案。一个比较好的方案是使用一个 HTTP 头----X-Frame-Options。

X-Frame-Options 可以说是为了解决 ClickJacking 而生的。它有三个可选的值:

  • DENY
  • SAMEORIGIN
  • ALLOW-FROM

DENY:浏览器会拒绝当前页面加载任何 frame 页面;
SAMEORIGIN:frame 页面的地址只能为同源域名下的页面;
ALLOW-FROM:可以定义允许 frame 加载的页面地址。

sports-boy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web安全ClickJacking
10-31
中国科学院大学研究生课件,由网络安全名师教授,入门深入必备
点击劫持”测试「Clickjacking Test」-crx插件
03-09
通过Offcon Info Security进行的Clickjacking测试。 此chrome扩展程序将检查是否可以对当前网页进行格式化,甚至生成用于安全报告的概念证明HTML。 支持语言:English
点击劫持ClickJacking
qq_56327824的博客
03-30 1万+
点击劫持ClickJacking) 什么是点击劫持 点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的,不可见的iframe,覆盖在一个网页上,然后诱导使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱导用户恰巧点击在iframe页面的一些功能性按键上 不懂iframe是干什么的同学,自己补充一下 利用iframe <!DOCTYPE html> <html lang="en"> <head>
web安全——点击劫持ClickJacking
Spontaneous_0的博客
01-15 666
web安全——点击劫持ClickJacking
每个 Web 开发人员都应该知道的 4 个 iframe 安全问题
javagty6778的博客
02-04 2624
iframe 能提高用户的互动性。但是,当你使用 iframe 的时候,你处理的内容是来自于你无法控制的第三方。因此,iframe 经常会对你的应用程序造成威胁。然而,我们不能因为安全顾虑就停止使用 iframe。我们需要意识到这些问题并采取防范措施来保护我们的应用程序。我认为这篇文能帮你识别使用 iframe安全问题。在下方评论区让我知道你的看法。如果发现译文存在错误或其他需要改进的地方,欢迎到掘金翻译计划对译文进行修改并 PR,也可获得相应奖励积分。文开头的本文永久链接。
web安全————clickjacking点击劫持
longger_lee
12-14 7382
点击劫持clickjacking)       点击劫持最早是在08年由安全专家Reboot Hansen和Jeremiah Grossman发现,这种攻击方式影响了几乎所有的桌面平台。那么什么是点击劫持??点击劫持其实是一种视觉上的欺骗手段,攻击者将一个透明的、不可见的iframe覆盖在一个网页上,通过调整iframe页面位置,诱使用户在页面上进行操作,在不知情的情况下用户的点击恰好是点击
白帽子web安全》第5 点击劫持ClickJacking
询昵的博客
05-27 184
一、ClickJacking简介 点击劫持ClickJacking):是一种视觉上的欺骗手段,攻击者使用一个透明的、不可见的iframe覆盖在网页上,并诱使用户在该网页上进行操作。(用户在不知情的情况下点击透明的iframe页面,通过调整iframe页面的位置,诱使用户恰好点击在iframe页面的一些功能性按钮上) 注:点击劫持和CSRF都是在用户不知情的情况下诱使用户完成一些工作,不同的是点击劫持利用的是与用户产生交互的页面,而CSRF是另外的页面。 二、劫持的类型 ①iframe点击劫持:..
Web安全 .pdf
03-21
跨站脚本攻击 浏览器安全 跨站点请求伪造(CSRF) 点击劫持ClickJacking) 注入攻击 文件上传漏洞 认证与会话管理 Web 框架安全 Web Server 配置安全 互联网业务安全 安全开发流程
Web安全的三个攻防姿势
02-25
我们最常见的Web安全攻击有以下几种1.XSS跨站脚本攻击2.CSRF跨站请求伪造3.clickjacking点击劫持/UI-覆盖攻击下面我们来一一分析跨站脚本攻击(CrossSiteScripting),为了不和层叠样式表(CascadingStyleSheets,CSS...
拖放劫持技术原理简述
m0_38103658的博客
08-15 651
拖放劫持发展历程: 在2010的Black Hat Europe大会上,Paul Stone提出了点击劫持的技术演进版本:拖放劫持。由于用户需要用鼠标拖放完成的操作越来越多(如复制粘贴、小游戏等等),拖放劫持大大提高了点击劫持的攻击范围,将劫持模式从单纯的鼠标点击拓展到了鼠标拖放行为。 最主要的是,由于拖放操作不受浏览器“同源策略“影响,用户可以把一个域的内容拖放到另一个不同的域,由此攻击者可能通...
白帽子WEB安全》学习笔记之第5 点击劫持clickjacking
weixin_34185560的博客
10-08 115
第5 点击劫持clickjacking)5.1 什么是点击劫持点击劫持是一种视觉上的欺骗手段。是一种在网页中将恶意代码等隐藏在看似无害的内容(如按钮)之下,并诱使用户点击的手段。主要特征q 点击劫持是一种恶意***技术,用于跟踪网络用户,获取其私密信息或者通过让用户点击看似正常的网页来远程控制其电脑。很多浏览器和操作平台都有这样的漏洞。q 点击劫持技术可以用嵌入代码或...
点击劫持ClickJacking+HTML5
zcc1414的专栏
09-25 1169
学习笔记而已 ~~~~~~~~~~~~~~~~~~~~~~~~~~
web安全点击劫持(clickjacking)
infi
03-19 1万+
百度解释: 点击劫持clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。 它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 这种攻击利用了HTML中标签的透明属性。 就像一张图片上
点击劫持 小例
weixin_33859504的博客
10-16 439
点击劫持(UI-覆盖攻击/click jacking) 一个关于点击劫持的小示例,首相看下理论知识 项目思路 首先,制作一个功能页面,作为被iframe嵌套的功能页面;这个页面的功能就是模仿投票功能,点击按钮时,即可完成投票功能,控制台会同步打印出操作信息。 <!DOCTYPE html> <html lang="en"> <head> <meta ...
Web安全_常见的攻击方式
qzo_smile的博客
10-15 673
Web安全_常见的攻击方式 常见的攻击方式 一、跨站脚本攻击XSS XSS产生的原因:过于信任客户端提交的数据 恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 XSS的分类: 1、反射型 把用户的输入“反射”到浏览器上,通常攻击者需要诱使用户点击一个恶意链接,才能攻击成功。 2、存储型 把用户输入的数...
Web安全点击劫持 Click Jacking
RexHa的博客
10-16 1016
点击劫持是一种视觉上的欺骗手段。攻击者用一个透明的、不可见的iframe,覆盖在一个网页上,诱使用户在该网页上进行操作,使用户在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以使用户恰好点击在iframe的一些功能性按钮上。通俗的,就是你在点击一个“网页”的某个位置时,很可能是点击了隐藏在页面下的某个按钮,从而达到了黑客的某些目的,这对用户来说是不可见的。相对于XSS和CSRF,需要与用户进行交互,实施攻击的成本较高,在网络犯罪中比较少见。
实现拖拽的小demo 以及相关api介绍
BoZai_ya的博客
07-01 301
实现拖拽的小demo 以及相关api介绍 html5提供了专门的拖拽API
Web安全漏洞 之 X-Frame-Options响应头配置
热门推荐
xp_lx12的博客
06-13 4万+
原理】配置http的响应头信息:属性名X-Frame-Options。可以配置的参数有两个:X-Frame-Options 响应头有三个可选的值:DENY:页面不能被嵌入到任何iframeframe中;SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中;ALLOW-FROM:页面允许frameframe加载。在服务端设置的方式如下:Java代码:response.add...
Clickjacking: X-Frame-Options header
最新发布
01-10
Clickjacking是一种网络攻击,攻击者通过在一个网页上覆盖一个透明的iframe来欺骗用户点击一个看似无害的按钮或链接,实际上却触发了隐藏的恶意操作。为了防止Clickjacking攻击,可以使用X-Frame-Options头部来限制...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值