点击劫持学习

最新推荐文章于 2024-04-20 10:27:45 发布
最新推荐文章于 2024-04-20 10:27:45 发布
阅读量385 收藏
点赞数
分类专栏: web知识学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51558360/article/details/113842568
版权

什么是点击劫持

点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。

将iframe页面透明度调至最透明,将看不到iframe页面
在这里插入图片描述
但其实页面是这样的在这里插入图片描述
在登录页面输入其实内容被输入到了iframe页面在这里插入图片描述
代码在这里插入图片描述

危害

1.盗取用户资金
2.获得用户的敏感信息
3.与XSS或CSRF等其他攻击手段配合

检验是否有点击劫持

burp抓包,查看是否有X-Frame-Options;若有证明无点击劫持

X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 < frame >, < /iframe > 或者 < object > 中展现的标记
网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持的攻击

X-Frame-Options三个参数:
DENY 表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许

SAMEORIGIN 表示该页面可以在相同域名页面的frame中展示

ALLOW-FROM uri 表示该页面可以在指定来源的frame中展示

换一句话说,如果设置为DENY,不光在别人的网站frame嵌入时会无法加载,在同域名页面中同样会无法加载
另一方面,如果设置为SAMEORIGIN,那么页面就可以在同域名页面的frame中嵌套
正常情况下我们通常使用SAMEORIGIN参数

防御手段

1.Javascript中禁止内嵌
因为普通页面的top对象为window,而iframe的top对象不等于window对象
这样如果存在嵌套的iframe,页面就会进行跳转,避免的点击劫持
但是这种防御方式并不完善,如果攻击者设置ifame的属性sandbox=“allow-forms” 时防御就失效。

   JS代码:
    if (top.location !== window.location){
        top.location == window.location
    }

2.X-FRAME-OPTIONS 防止内嵌
服务器端可设置HTTP头 "X-Frame-Options:DENY"来让浏览器主动禁止iframe内嵌
不过这种方式在HTTP中不可靠,黑客可以窃听篡改HTTP请求来修改HTTP头。

3.对于Firefox的用户,使用 NoScript 扩展
NoScript 能够在一定程度上检测和阻止点击劫持攻击。

4.其他辅助手段
如XSS和CSRF的防御方法,也可以防御点击劫持后对服务器端的攻击

frame busting

通常可以写一段JavaScript代码,以禁止iframe的嵌套。这种方法叫frame busting。比如下面这段代码:

if (top.location != location){
    top.location = self.location;
}

常见的frame busting有以下这些方式:

if (top != self)
if (top.location != self.location)
if (top.location != location)
if (parent.frame.length >0 )
if (window != top)
if (window.top !== window.self)
if (window.self != window.top)
if (parent && parant != window)
if (parent && parent.frames && parent.frames.length>0)
top.location = self.location
top.location.href = document.location.href
top.location.href = self.location.href
top.location.replace(self.location)
top.location.href = window.location.href
top.location.replace(document.location)
top.location.href = windows.location.href
top.location.href = "URL"
document.wirte(‘’)
top.location = location
top.location.replace(document.location)
top.location.replace('URL')
top.location.href = document.location
top.location.replace(window.location.href)
top.location.href = location.href
self.parent.location = document.location
parent.location.href = self.document.location
top.location.href = self.location
top.location = window.location
top.location.replace(window.location.pathname)
window.top.location = window.self.location
setTimeout(function(){document.body.innerHTML='';},1)
window.self.onload = function(evt){document.body.innerHTML='';}
var url = window.location.href; top.location.replace(url)

但是frame busting 也存在一些缺陷。由于它是用JavaScript写的,控制能力并不是特别强,因此有许多方法可以绕过它。

比如针对parent.location 的 frame busting,就可以采用嵌套多个 iframe 的方法绕过。假设frame busting 代码如下:

if ( top.location != self.location) {
    parent.location = self.location;
}

那么通过以下方式即可绕过上面的保护代码:

Attacker top frame:
<iframe src="attack2 .html">
Attacker sub-frame:
<iframe src="http://www.victim.com">

此外,像HTML5中iframe的sandbox属性、IE中iframe的security属性等,都可以限制iframe页面中的JavaScript脚步执行,从而可以使得frame busting 失效。

例题

看题吧

_pain_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
点击劫持漏洞原理和复现
weixin_54438700的博客
05-20 3447
一、漏洞原理 点击劫持(Clickbandit),主要是利用HTML中iframe便签可以透明的属性进行利用攻击,其原理是通过在原本的网页上覆盖透明的框架并使受害者在不知情的情况下进行点击。漏洞主要是由于未对referer字段来源进行检验。常常配合csrf和xss。 图中,攻击者在原本网站上覆盖一个透明框架,受害者正常访问网站A,就会点击到这个透明框架B。攻击者常常利用该漏洞诱导受害者点击关键位置进行一些操作,比如转账、购买等危险操作。 二、漏洞复现 1.借助burpsuite工具,选择Clickb
每个 Web 开发人员都应该知道的 4 个 iframe 安全问题
javagty6778的博客
02-04 2703
iframe 能提高用户的互动性。但是,当你使用 iframe 的时候,你处理的内容是来自于你无法控制的第三方。因此,iframe 经常会对你的应用程序造成威胁。然而,我们不能因为安全顾虑就停止使用 iframe。我们需要意识到这些问题并采取防范措施来保护我们的应用程序。我认为这篇文章能帮你识别使用 iframe 的安全问题。在下方评论区让我知道你的看法。如果发现译文存在错误或其他需要改进的地方,欢迎到掘金翻译计划对译文进行修改并 PR,也可获得相应奖励积分。文章开头的本文永久链接。
原来我一直被骗了!Burp suite诱导劫持攻击【附工具】
最新发布
jijisaq的博客
04-20 980
一、点击劫持点击劫持是一种基于界面的攻击,用户通过点击诱饵网站中的一些其他内容被诱骗点击隐藏网站上的可操作内容。举例来说,一个网络用户可能会访问一个诱饵网站(可能是通过电子邮件提供的链接),并点击一个按钮以赢取奖品。然而,他们可能会在不知情的情况下点击了另一个隐藏按钮,导致了另一个网站上的帐户被用来支付款项。这就是点击劫持攻击的一个例子。
web安全——点击劫持(ClickJacking)
Spontaneous_0的博客
01-15 691
web安全——点击劫持(ClickJacking)
web安全的常见问题分析之点击劫持
浮生离梦的博客
09-29 959
一、点击劫持 1. 点击劫持 1)点击劫持是指在一个Web页面中隐藏了一个透明的iframe,用外层假页面诱导用户点击,实际上是在隐藏的frame上触发了点击事件进行一些用户不知情的操作 2. 典型点击劫持攻击流程 1)攻击者构建了一个非常有吸引力的网页 2)将被攻击的页面放置在当前页面的 iframe 中 3)使用样式将 iframe 叠加到非常有吸引力内容的上方 4)将iframe设置为100...
在ADF应用中,能够通过 oracle.adf.view.rich.security.FRAME_BUSTING 参数来使用framebusting功能。
evilcry2012的专栏
07-13 636
在ADF应用中,能够通过 oracle.adf.view.rich.security.FRAME_BUSTING 参数来使用framebusting功能。    FrameBusting-结构破坏。FrameBusting主要用于防止点击劫持,常发生于在另一个domain中的恶意网站,通过IFrame的方式,使用一个假冒的网站或者额外的页面元素来覆盖原始页面,在这些假冒页面上,只允许用户看到
点击劫持页面.rar
05-28
这个"点击劫持页面.rar"文件提供了一个静态页面示例,用于演示这种攻击方式,帮助我们理解和防范点击劫持。 首先,我们需要理解点击劫持的工作原理。攻击者通常会创建一个包含恶意iframe的网页,这个iframe的源URL...
Windows映像劫持工具
02-11
点击劫持后程序会尝试将相关信息写入注册表。若想还原只需将被劫持程序名写入第一栏点击解救即可。 压缩包附带两个版本的工具,易语言版依赖krnln.fnr运行,Python版需要图标。 本程序不包含任何病毒,很多杀毒软件...
activity劫持
09-17
通过"Activity劫持演示文档.7z"和"ActivityHijackingDemo.apk"的学习,你可以更深入地理解activity劫持的实现方式,并了解如何在实际开发中避免此类安全问题。同时,这也提醒我们,无论是开发者还是用户,都需要时刻...
劫持IE浏览器网址.rar
05-17
学习此类信息可以帮助我们理解浏览器劫持的工作方式,提高网络安全意识,并防止成为此类攻击的受害者。但重要的是,只有在充分理解风险并采取适当防护措施的情况下,才应尝试模拟此类行为。对于普通用户而言,保持...
WEB渗透学习-XSS-labs靶场
04-20
1. **反射型XSS(Non-Persistent XSS)**:这是最常见的一种XSS,攻击者的恶意脚本通过用户点击链接或者提交表单时的参数传递到服务器,再反射回用户的浏览器。在XSS-labs中,你可以通过构造特殊URL来触发这类XSS。 ...
js 页面刷新
qq_27009517的博客
05-28 5259
刷新为新的页面 获得当前页面的url,即浏览器显示的地址: window.location.href; 按下enter,页面刷新为百度 刷新为当前页面 1,history.go(0)2,location.reload() 3,location=location 4,location.assign(location) 5,document.execcommand(‘refresh‘) 6,window.navigate(location) 7,location.repla...
点击劫持(ClickJacking)
sh0rk的博客
11-03 2688
点击劫持什么是点击劫持?方法进阶(本质上还是UI覆盖攻击,只是实现手段不一样)防御 什么是点击劫持点击劫持(ClickJacking),又称“UI-覆盖攻击”,通过覆盖不可见的框架误导受害者进行点击而造成的攻击行为。其本质是一种视觉欺骗。 方法 利用iframe或其他标签的属性构造一个精心构造的页面,诱导受害者进行点击。 &amp;lt;!DOCTYPE HTML&amp;gt; &amp;lt;html&amp;gt; &amp;...
X-Frame-Options(点击劫持)
热门推荐
weixin_42728957的博客
04-17 5万+
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上。 HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的...
点击劫持和图片覆盖劫持
交换一个思想,能得到俩思想
09-24 4028
点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一 个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe 页面上的某个按钮或者链接。通过调整iframe 页面的位置,可以诱使用户恰好点击iframe 页面的一些功能性按钮上。 CLICK JACK!!! iframe { width: 900px; heig
「第五章」点击劫持(ClickJacking)
hacckjacking
01-22 870
「第五章」点击劫持(ClickJacking) 「第五章」点击劫持(ClickJacking) 批注 [……] 表示他人、自己、网络批注 参考资料来源于 * 书中批注 * CSDN * GitHub * Google * 维基百科 * YouT...
点击劫持攻防入门
Web分享
01-11 4543
简介 点击劫持(click jacking)也被称为 UI 覆盖攻击。它通过不可见框架底部的内容误导受害者点击,虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 原理 这种攻击利用了HTML中标签的透明属性。 在 HTML 中,我们可以在 iframe 里面嵌套另一个网页。通过设置 iframe 的透明度,可以使 iframe 不可见,同
使用HTTP响应头X-Frame-Options防止网页被Frame
Just do IT
08-02 2万+
有时候为了防止网页被别人的网站iframe,我们可以通过在服务端设置HTTP头部中的X-Frame-Options信息。 X-Frame-Options 响应头有三个可选的值: DENY:页面不能被嵌入到任何iframe或frame中; SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中; ALLOW-FROM:页面允许frame或frame加载。
top.location == self.location
qq_14861367的专栏
12-03 1361
 if (top.location == self.location) 判断当前location 是否为顶层 来禁止frame引用   top表示主窗口,location表示当前窗口,如果你的文件只有一个框架,没有iframe和frmaeset,那么是完全一致的,没有区别。 top.location是在顶层frame中打开新页   window.location是在当前frame中打开新页 ...
Web js逆向学习计划
05-19
6. 学习常见的 Web JS 攻击技术,如 XSS、CSRF、点击劫持等,了解它们的原理和防御方法。 7. 学习常见的 Web JS 逆向技术,如代码还原、调试技巧、动态调试、静态分析等,了解它们的原理和应用场景。 8. 实践项目...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值