web安全学习笔记之-点击劫持

最新推荐文章于 2024-07-16 10:30:27 发布
最新推荐文章于 2024-07-16 10:30:27 发布
阅读量1.7k 收藏
点赞数
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sailtoyouSCU/article/details/26141493
版权


点击劫持原理本质就是利用iframe实现了障眼法


这是比CSRF更高级的手法。可以通过一连串的欺骗让用户把需要交互的请求给伪造了。


也有人用类似障眼法当作trick去实现正常功能的,印象中QQ邮箱的一个前端分享就介绍过这样的手法实现一个非常规大杀器功能。


flash的点击劫持还能实现打开用户电脑的摄像头。

图片劫持XSIO ,用户输入的html代码里 如果允许浮出来,位置如果调整到logo位置,会起到欺骗目的。

现在出现了拖拽劫持、触屏劫持。总之就是凡是可以欺骗眼睛的交互都可以被利用。

tapjacking例如:http://hi.baidu.com/fonfonwanmei/item/ea905d1cf3ca35741109b5cf



各种劫持都很依赖iframe

所以防御劫持的方式比较直接是禁止跨域的iframe。

1、frame busting是一段javascript代码,禁止iframe的嵌套,只是能被多级嵌套的方式绕过。

2、x-frame-options  ,依赖浏览器的实现,当http头给出这个选项是deny的设定后,浏览器不允许嵌套iframe。量身定做的防止点击劫持手段





sailtoyouSCU
关注
专栏目录
XSS学习笔记(一)-点击劫持
byteway的专栏
04-20 5433
所谓的XSS场景就是触发的XSS的场所,多数情况下都是攻击者在网页中嵌入(发表)的恶意脚本(Cross site Scripting),这里的触发攻击总是在浏览器端,达到攻击的者的目的,一般都是获取用户的Cookie(可以还原账户登录状态),导航到恶意网址,携带木马,作为肉鸡发起CC攻击,传播XSS蠕虫等。 简单举一个场景: 在一个页面有一个textbox 代码就是  这里的valuef
WEB安全学习笔记
chenrs727的博客
12-02 1984
基础入门 1.基础入门——基础概念 域名 什么是域名 域名(英语:Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置) 由于IP地址具有不方便记忆并且不能显示地址组织的名称和性质等缺点,人们设计出了域名,并通过网域名称系统(DNS,Domain Name System)来将域名和IP地址相互映射,使人更方便地访问互联网,而不用去记住能够被机器直接读取的IP地址数串。 比如www.bai
Web安全点击劫持(ClickJacking)
weixin_33871366的博客
03-06 967
点击劫持(ClickJacking)是一种视觉上的欺骗手段。大概有两种方式,一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面;二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义; iframe覆盖 直接示例说明 1. 假如我们在百度有个贴吧,想偷偷让别人关注它。于是我们准备一个页面: &l...
Web 安全点击劫持(Clickjacking)攻击详解_点击劫持攻击
最新发布
2401_85773496的博客
07-16 1105
点击劫持(Clickjacking)攻击,又称为界面伪装攻击,是一种利用视觉欺骗手段进行攻击的方式。攻击者通过技术手段欺骗用户点击本没有打算点击的位置,当用户在被攻击者攻击的页面上进行操作时,实际点击结果被劫持,从而被攻击者利用。这种攻击方式利用了用户对网站的信任,通过覆盖层(通常是透明的iframe)覆盖在另一个网页之上,使受害者无法察觉。
点击劫持
genshengxiao的专栏
08-31 462
点击劫持,ClickJacking     定义:攻击者使用一个透明的、不可见的iframe,覆盖在一个页面上,然后诱使用户在该页面上进行操作,从而完成攻击行为。     进阶:              1. Flash点击劫持              2. 图片覆盖攻击,XSIO              3. 拖拽劫持,主要用于数据窃取              4. 触屏劫持
Web 安全学习笔记
hack0919的博客
04-05 196
对于从来没有接触过网络安全的同学,我帮你准备了详细的学习成长路线图
小迪安全笔记,详细版本
01-23
【小迪安全笔记】详细介绍了网络安全领域的多个关键知识点,涵盖了域名、DNS系统、CDN、DNS攻击、脚本语言以及后门等方面...通过学习小迪安全笔记,我们可以深入理解网络空间的安全机制,更好地保护网络资源免受攻击。
白帽子讲Web安全 读书笔记
03-12
### 白帽子讲Web安全读书笔记一:关键知识点解析 #### 第零篇 总览 - **客户端脚本安全**:这部分主要关注浏览器环境下的安全问题,包括浏览器自身的安全机制以及用户与网页交互过程中可能遇到的安全风险。 - **...
Vert.x 3学习笔记---14( Web篇 )
03-07 1万+
之前的文章介绍的vertx-core的内容。我们可以看到core中的东西就像是一个异步的工具集。我们可以在这个工具集的基础上面进行很多的操作。比如:异步的文件操作、异步的socket等等。有一些操作,我们可以看着是‘很底层的’操作,vertx在这些基础的操作上有做了一些‘封装’,比如Vertx-Web,就是web的一些封装,我们可以使用Vertx-Web来开发Web项目。Vert.x-WebVert
点击劫持页面.rar
05-28
做了一个简单的静态页面,实现点击劫持效果,希望大家可以了解关于网页安全的问题,请不要应用到非法用途,可以研究学习
点击劫持”测试「Clickjacking Test」-crx插件
03-09
通过Offcon Info Security进行的Clickjacking测试。 此chrome扩展程序将检查是否可以对当前网页进行格式化,甚至生成用于安全报告的概念证明HTML。 支持语言:English
点击劫持(ClickJacking)
热门推荐
qq_56327824的博客
03-30 1万+
点击劫持(ClickJacking) 什么是点击劫持 点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的,不可见的iframe,覆盖在一个网页上,然后诱导使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱导用户恰巧点击在iframe页面的一些功能性按键上 不懂iframe是干什么的同学,自己补充一下 利用iframe <!DOCTYPE html> <html lang="en"> <head>
点击劫持(clickjacking)
内心不种满鲜花就会长满杂草
03-27 5249
目录 一. 漏洞描述 二. 点击劫持例子 三. 漏洞防御 一. 漏洞描述 点击劫持, clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由 互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 这种攻击利用了HTML中<iframe>标签的透明属性。iframe标签是一个...
提升Web编程安全:实战笔记与策略
为了弥补这一空白,作者阅读了《Web安全设计之道》一书,尽管部分内容来源于微软官方文档,但作者认为这本书还是有一定启发性的。本文主要关注编程层面的Web安全问题,而非IIS、Windows或SQL Server的安全管理。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值