点击劫持【低危】
漏洞等级:低危
漏洞 URL:http://www.xxx.com/
问题说明:
web 平台渗透测试报告
经测试,目标存在点击劫持漏洞。
构造点击劫持的 html 文件,插入地址
漏洞危害:
攻击者利用该漏洞精心构造 web 页面引诱客户端增删改查自己的系统信息,
点击劫持技术如果结合其他漏洞进行攻击,将突破某些安全措施,实现更大范围
的攻击。
安全建议:
1.X-FRAME-OPTIONS 机制(目前最可靠的方法)
在微软发布新一代的浏览器 Internet Explorer 8.0 中首次提出全新的安全
机制:X-FRAME-OPTIONS。该机制有两个选项:DENY 和 SAMEORIGIN。DENY 表示
任何网页都不能使用 iframe 载入该网页,SAMEORIGIN 表示符合同源策略的网页
可以使用 iframe 载入该网页。如果浏览器使用了这个安全机制,在网站发现可
疑行为时,会提示用户正在浏览 网页存在安全隐患,并建议用户在新窗口中打
开。这样攻击者就无法通过 iframe 隐藏目标的网页。
解决方法:
配置 nginx
要配置 nginx 发送 X-Frame-Options 头文件,请将其添加到您的
http,服务器或位置配置中:
add_header X-Frame-Options SAMEORIGIN;
然后重启nginx即可