点击劫持漏洞

最新推荐文章于 2023-06-13 16:55:07 发布
最新推荐文章于 2023-06-13 16:55:07 发布
阅读量898 收藏 4
点赞数
分类专栏: 正版化 文章标签: nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40679463/article/details/128248911
版权

点击劫持【低危】
漏洞等级:低危
漏洞 URL:http://www.xxx.com/
问题说明:
web 平台渗透测试报告
经测试,目标存在点击劫持漏洞。
构造点击劫持的 html 文件,插入地址
在这里插入图片描述
在这里插入图片描述
漏洞危害:
攻击者利用该漏洞精心构造 web 页面引诱客户端增删改查自己的系统信息,
点击劫持技术如果结合其他漏洞进行攻击,将突破某些安全措施,实现更大范围
的攻击。

安全建议:
1.X-FRAME-OPTIONS 机制(目前最可靠的方法)
在微软发布新一代的浏览器 Internet Explorer 8.0 中首次提出全新的安全
机制:X-FRAME-OPTIONS。该机制有两个选项:DENY 和 SAMEORIGIN。DENY 表示
任何网页都不能使用 iframe 载入该网页,SAMEORIGIN 表示符合同源策略的网页
可以使用 iframe 载入该网页。如果浏览器使用了这个安全机制,在网站发现可
疑行为时,会提示用户正在浏览 网页存在安全隐患,并建议用户在新窗口中打
开。这样攻击者就无法通过 iframe 隐藏目标的网页。

解决方法:
配置 nginx

要配置 nginx 发送 X-Frame-Options 头文件,请将其添加到您的
http,服务器或位置配置中:

add_header X-Frame-Options SAMEORIGIN;

然后重启nginx即可

Kiway.
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【Web安全】点击劫持漏洞
做自己喜欢的事,并将其发挥到极致!
11-25 1260
本篇文章主要介绍点击劫持漏洞原理、危害以及验证方式,切勿将文中攻击手法用于非授权下渗透攻击行为!!!点击劫持(Click Jacking),是一种视觉上的欺骗手段,也被称为UI-覆盖攻击。攻击者通过使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,通过调整iframe页面的位置,可以使得伪造的页面恰好和iframe里受害页面里的一些功能重合(点击按钮或活动选项),以达到窃取用户信息或者劫持用户操作的目的。
WEB应用程序点击劫持漏洞研究及防御方法
12-11
web程序劫持漏洞及防御的方法。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
X-Frame-Options(点击劫持)
热门推荐
weixin_42728957的博客
04-17 5万+
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的...
点击劫持
Bul1et的博客
10-31 638
其实点击劫持算不上什么大的漏洞  不过今天遇到了  就来说说 首先是通过扫描器扫到的这个漏洞 然后开始研究怎么复现 通过各种努力吧   最后自己写了一个POC  就可以验证了 第一种POC <iframe id="victim" src="https://www.baidu.com/" scrolling="no" width="1300" height="600" frameb..
点击劫持漏洞修复(前端、后端)
weixin_42787408的博客
09-30 2107
点击劫持是一种视觉上的欺骗手段,攻击者通过使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作。
点击劫持漏洞原理和复现
weixin_54438700的博客
05-20 2796
一、漏洞原理 点击劫持(Clickbandit),主要是利用HTML中iframe便签可以透明的属性进行利用攻击,其原理是通过在原本的网页上覆盖透明的框架并使受害者在不知情的情况下进行点击漏洞主要是由于未对referer字段来源进行检验。常常配合csrf和xss。 图中,攻击者在原本网站上覆盖一个透明框架,受害者正常访问网站A,就会点击到这个透明框架B。攻击者常常利用该漏洞诱导受害者点击关键位置进行一些操作,比如转账、购买等危险操作。 二、漏洞复现 1.借助burpsuite工具,选择Clickb
界面劫持点击劫持
d59hao的博客
06-13 603
界面操作劫持攻击实际上是一种基于视觉欺骗的 web 会话劫持攻击,核心在于使用了标签中的透明属性,他通过在网页的可见输入控件上覆盖一个不可见的框,使得用户误以为在操作可见控件,而实际上用户的操作行为被其不可见的框所劫持,执行不可见框中的恶意代码,达到窃取信息,控制会话,植入木马等目的。因为首先劫持的是用户的鼠标点击操作,所以命名叫点击劫持。最新版本的浏览器提供很多防御点击劫持漏洞的安全机制,对于普通的互联网用户,经常更新修复浏览器的安全漏洞,能够最有效的防止恶意攻击。
十四、点击劫持漏洞
weixin_46849264的博客
03-24 468
点击劫持漏洞
Click Jacking点击劫持漏洞验证.pdf
12-25
本文详细讲解Click Jacking点击劫持漏洞原理及利用方式。该漏洞成功利用的关键就是能够将伪造的网页源码覆盖到目标页面上,并且在受害者不知情的情况下诱导进行操作,可将操作记录打印输出到控制台。攻击者也可通过技术手段将受害者的操作记录传回自己的服务器。
点击劫持漏洞案例ppt
01-02
点击劫持---clickjacking
测试网站是否存在漏洞的工具
02-23
漏洞 工具 是否 网站 安全 测试网站是否存在漏洞的工具 QQ 2664668
Bodhi:客户端漏洞游乐场
05-04
点击劫持漏洞利用: : LQF6-97b8Ys 设定说明 码头工人 有一个泊坞窗可用于此。 请按照以下命令进行设置: $ docker pull amolnaik4/bodhi_app $ docker run -p 80:80 -p 8000:8000 amolnaik4/bodhi_app 泊坞窗...
chromedriver-linux64-V124.0.6367.91 稳定版
04-30
chromedriver-linux64-V124.0.6367.91稳定版
基于yolov7 加入 depth回归
最新发布
04-30
在官方的基础上改了检测头、导出onnx(适配tensorrt pro 项目)、测试demo等代码。 能够使用清华V2X数据集进行训练和测试。 https://www.bilibili.com/video/BV1Wd4y1G78M/?vd_source=0223c707743ff3013adaeff54aee3506 数据集来源:https://thudair.baai.ac.cn/index 基于Yolov7 tiny,加入了距离回归 模型没收敛完,随便试了下,所以预测有抖动 使用TRT加速,在AGX Xavier上推理大约4ms V2X使用tools/convertlabel2yolo.ipynb 进行数据集转换
基于STM32F101单片机设计Bluetooth Sentinel 主板硬件(原理图+PCB)工程文件.zip
04-30
基于STM32F101单片机设计Bluetooth Sentinel 主板硬件(原理图+PCB)工程文件,仅供学习设计参考。
【前端热门框架【vue框架】】——条件渲染和列表渲染的学习的秒杀方式 (2).txt
04-30
【前端热门框架【vue框架】】——条件渲染和列表渲染的学习的秒杀方式 (2)
liba2ps1-4.14-bp155.4.9.aarch64.rpm
04-30
liba2ps1-4.14-bp155.4.9.aarch64
nginx点击劫持漏洞修复
05-10
点击劫持是一种常见的 Web 安全漏洞,攻击者会将一个网站嵌入到另一个网站中,通过隐藏或者伪装的方式,欺骗用户去点击一个看似无害的链接,从而实现攻击者的恶意目的。nginx 本身并没有针对点击劫持的专门防御机制,但是我们可以通过一些方法来修复这个漏洞: 1. X-Frame-Options 防御点击劫持nginx 的配置文件中,可以通过设置 X-Frame-Options 来防御点击劫持。X-Frame-Options 是一个 HTTP 响应头,可以控制浏览器是否允许当前页面在 iframe 中展示。我们可以将其设置为 DENY,表示当前页面不能在 iframe 中展示,从而防止点击劫持攻击。示例配置如下: ``` add_header X-Frame-Options DENY; ``` 2. JavaScript 防御点击劫持 另外,我们还可以通过 JavaScript 来防御点击劫持。在页面中嵌入一个透明的 iframe,覆盖整个页面,当用户点击页面时,我们可以通过 JavaScript 判断点击事件的坐标是否在 iframe 内,如果是,则说明用户是在被劫持的页面中点击,我们可以将当前页面重定向到其他页面,从而避免被攻击。示例代码如下: ``` if (top != self) { top.location = self.location; } ``` 综上所述,我们可以通过 X-Frame-Options 和 JavaScript 来防御点击劫持漏洞。建议开发人员在开发过程中注意防范这种漏洞,以保障用户的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值