Web安全:ClickJacking 基本概念及相关实践

最新推荐文章于 2022-09-15 12:16:42 发布
最新推荐文章于 2022-09-15 12:16:42 发布
阅读量219 收藏
点赞数
分类专栏: web安全 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37858047/article/details/105009985
版权

ClickJacking介绍

Clickjacking is an attack that tricks a user into clicking a webpage element which is invisible or disguised as another element. This can cause users to unwittingly download malware, visit malicious web pages, provide credentials or sensitive information, transfer money, or purchase products online.

 Referencehttps://www.imperva.com/learn/application-security/clickjacking/

通常,点击劫持是通过在用户看到的页面上层显示不可见的页面或HTML元素来实现的。用户认为他们单击的是可见页面,但实际上,他们单击的是附加在页面上层的不可见元素。

看山不是山,看水不是水大概说的就是这个了吧?

 

攻击效果

由于点击劫持的恶意网页是攻击者自己构建的,所以CSRF和XSS能完成的大部分攻击,点击劫持都可以实现。

在后台,攻击者可能会检查用户在访问恶意网页时,是否同时登陆了银行、电商等网站。如果是,就会通过后台调整用户浏览器行为,诱导用户完成转账等行为。

当页面有与用户交互的行为时,许多XSS和CSRF攻击都会失效。而点击劫持,它正是利用页面与用户的交互行为,在用户不知情的情况下,完成了攻击。

在Flash的早期版本,有攻击者通过构造出点击劫持,在一系列复杂的动作之后,最终控制了用户电脑的摄像头。

 

简单示例:

伪装成百度的恶意网站

 真实的情况(百度一下按钮和B站的投稿按钮是重叠的)

代码:

<!--
点击劫持
-->
<!DOCTYPE html>
<html>
<head>
<title>百度一下</title>

<style type="text/css">
#baidu{
  border-style: none;
  z-index: 1;
 }
#bilibili{
	border-style:none;
	z-index: 3;
	width: 900px;
	height: 900px;
	
	position:absolute;
	top:233px;
	left:202px;
	opacity:0;
	
}
</style>


</head>
<body>
<iframe src="https://www.baidu.com" width=100% height=1000px id="baidu" ></iframe>
<iframe src="https://www.bilibili.com/" id="bilibili" scrolling="no" ></iframe>

</body>
</html>

 

防御措施

1、frame busting: 写一段JavaScript代码,以禁止iframe的嵌套。

如:

if(top.location != location){

top.location = selt.location;

}

2、使用HTTP头X-Frame-Options

The X-Frame-Options HTTP 响应头是用来给浏览器 指示允许一个页面 可否在 <frame>, <iframe>, <embed> 或者 <object> 中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面,从而避免 clickjacking 攻击。

 

参考资料

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options

《白帽子讲Web安全》

 

 

 

仰山之高
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
clickjacking漏洞的挖掘与利用
weixin_34144848的博客
03-08 366
px1624 · 2014/11/10 16:250x00简介1 说起clickjacking,很多人其实都不知道是干嘛的。比起XSS来说,clickjacking显得比较神秘,乌云漏洞库里面的相关的漏洞也不到10条而已。2 瞌睡龙之前发过一篇clickjacking的技术文档,主要是介绍clickjacking出现的原因,以及防御的方法。我这里主要是介绍,怎么寻找clickjacking以及怎么...
Clickjacking (UI redressing)点击劫持
Eason_LYC安全白帽子的成长博客
05-13 1966
点击劫持(Clickjacking)全面梳理介绍,并有配套靶场练习。难得的学习材料。
网络安全-点击劫持(ClickJacking)的原理、攻击及防御
关注网络安全、云原生安全
08-15 1万+
简介 2008年,安全专家Robert Hansen 与Jeremiah Grossman发现了一种被他们称为点击劫持(Cli)的攻击 原理 攻击 防御
web安全————clickjacking(点击劫持)
longger_lee
12-14 7384
点击劫持(clickjacking)       点击劫持最早是在08年由安全专家Reboot Hansen和Jeremiah Grossman发现,这种攻击方式影响了几乎所有的桌面平台。那么什么是点击劫持??点击劫持其实是一种视觉上的欺骗手段,攻击者将一个透明的、不可见的iframe覆盖在一个网页上,通过调整iframe页面位置,诱使用户在页面上进行操作,在不知情的情况下用户的点击恰好是点击在
点击劫持(ClickJacking
weixin_40270125的博客
05-12 2153
1)什么是点劫持 点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 看下面这个例子。 在http://www.a.com/test.html页面中插入了一个指向目标网站...
web安全ClickJacking
10-31
中国科学院大学研究生课件,由网络安全名师教授,入门深入必备
web-security-fundamentals::school:Mike的网络安全课程
04-28
这是用于的 课程的项目。 课程大纲和幻灯片 有几块? 用于Sass编译的 ... 作为CLI运行的基础 设定 为了准备好此课程,您需要确保已安装一些内容。... 您将需要安装相对较新的node.js版本(最好是v4.5或更高版本,v7)。...
Web安全 .pdf
03-21
跨站脚本攻击 浏览器安全 跨站点请求伪造(CSRF) 点击劫持(ClickJacking) 注入攻击 文件上传漏洞 认证与会话管理 Web 框架安全 Web Server 配置安全 互联网业务安全 安全开发流程
Web安全的三个攻防姿势
02-25
我们最常见的Web安全攻击有以下几种1.XSS跨站脚本攻击2.CSRF跨站请求伪造3.clickjacking点击劫持/UI-覆盖攻击下面我们来一一分析跨站脚本攻击(CrossSiteScripting),为了不和层叠样式表(CascadingStyleSheets,CSS...
web安全之点击劫持(clickjacking)
热门推荐
infi
03-19 1万+
百度解释: 点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。 它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 这种攻击利用了HTML中标签的透明属性。 就像一张图片上
Web安全之点击劫持(ClickJacking
laya1211的博客
09-15 753
点击劫持(ClickJacking)是一种视觉上的欺骗手段。大概有两种方式,一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面;二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义
掌握漏洞赏金技巧
weixin_26636643的博客
09-27 1538
Bug bounties are a great way to gain experience in cybersecurity and earn some extra bucks. I’m a huge proponent for participating in bug bounties as your way into the cybersecurity industry. 错误赏金是获得网...
web安全之点击劫持攻击(clickjack)
_Co1a
12-08 1738
点击劫持clickjack 点击劫持 (Clickjacking) 技术又称为界面伪装攻击 (UI redress attack ),是一种视觉上的欺骗手段。攻击者使用一个或多个透明的 iframe 覆盖在一个正常的网页上,然后诱使用户在该网页上进行操作,当用户在不知情的情况下点击透明的 iframe 页面时,用户的操作已经被劫持到攻击者事先设计好的恶意按钮或链接上。攻击者既可以通过点击劫持设计一个独立的恶意网站,执行钓鱼攻击等;也可以与 XSS 和 CSRF 攻击相结合,突破传统的防御措施,提升漏洞的危害
业务漏洞_那么,如何说明业务漏洞的故事
weixin_26637885的博客
10-07 101
业务漏洞Contextualizing Security Vulnerabilities上下文化安全漏洞 As a former penetration tester turned product-focused security professional, one of the most important things I’ve realized is that translating sec...
158.Clickjacking点击劫持攻击实现和防御措施
zjy123078_zjy的博客
02-22 366
clickjacking攻击: clickjacking攻击又称为点击劫持攻击,是一种在网页中将恶意代码等隐藏在看似无害的内容(如按钮)之下,并诱使用户点击的手段。 clickjacking攻击场景: 用户进入到一个网页中,里面包含了一个按钮(查看照片),但是这个按钮上面加载了一个透明的iframe标签,这个iframe标签加载了另外一个网页,并且他将这个网页的某个按钮和网页中的按钮(查看照片)重...
不容小视的漏洞——ClickJacking
追风筝的孩子
08-24 3664
 除了XSS和CSRF之外,还有一个被称为ClickJackingweb安全漏洞常常被大家遗忘,但绝对不能忽略。 是一种视觉欺骗手段,在web端就是iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置。 由于点击劫持的出现,便出现了反frame嵌套的方式,因为点击劫持需要iframe嵌套页面来攻击。 解决方法:配置过滤器   首先,将Clickj...
漏洞修复:Clickjacking: X-Frame-Options header missing
CutelittleBo的博客
01-27 4176
描述 Clickjacking (User Interface redress attack, UI redress attack, UI redressing) is a malicious technique of tricking a Web user into clicking on something different from what the user perceives they are clicking on, thus potentially revealing confidentia
点击劫持攻击与防御技术简介
北冥有鱼的Blog
12-01 1528
引言: 昨天搞google iframe时,接触到了点击劫持(clickjacking)的概念。以前看《图解HTTP》的时候也接触到了这个概念【大学时候还接触到SQL注入、XSS跨站脚本攻击(Cross Site Scripting),跨站请求伪造(Cross-site request forgery,简称CSRF或XSRF)等相关概念】。今天查了相关资料,发现一篇好文章,现转载如下: 点击劫持...
一些ATMega16单片机驱动ENC28J60网卡的例程
最新发布
06-23
免责声明:资料部分来源于合法的互联网渠道收集和整理,部分自己学习积累成果,供大家学习参考与交流。收取的费用仅用于收集和整理资料耗费时间的酬劳。 本人尊重原创作者或出版方,资料版权归原作者或出版方所有,本人不对所涉及的版权问题或内容负法律责任。如有侵权,请举报或通知本人删除。
Clickjacking: X-Frame-Options header
01-10
Clickjacking是一种网络攻击,攻击者通过在一个网页上覆盖一个透明的iframe来欺骗用户点击一个看似无害的按钮或链接,实际上却触发了隐藏的恶意操作。为了防止Clickjacking攻击,可以使用X-Frame-Options头部来限制...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值