网页劫持

最新推荐文章于 2024-01-02 17:20:20 发布
置顶 最新推荐文章于 2024-01-02 17:20:20 发布
阅读量4.3k 收藏 6
点赞数 1
分类专栏: Web前端 Javascript web安全 文章标签: web安全 网页劫持
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010644262/article/details/79476683
版权
Web前端 同时被 3 个专栏收录
37 篇文章 0 订阅
订阅专栏
Javascript
34 篇文章 0 订阅
订阅专栏
web安全
3 篇文章 0 订阅
订阅专栏

    web前端安全除了平常的XSS、CSRF外还存在一种安全问题就是网页劫持。所谓的网页劫持就是非法的网页被修改拦截了。来看下面的具体解释。

什么是网页劫持:
       使用HTTP请求请求一个网站页面的时候,网络运营商会在正常的数据流中插入精心设计的网络数据报文,让客户端(通常是浏览器)展示“错误”的数据,通常是一些弹窗,宣传性广告或者直接显示某网站的内容。

分类
    I、 跳转型劫持 :用户输入地址A,但是跳转到地址B
    II、 注入型劫持 :过在正常的网页中注入广告代码(js、iframe等),实现页面弹窗提醒或者底部广告等。
         1),注入js类劫持:在正常的页面注入js代码实现劫持。
         2),iframe类劫持:将正常网页嵌套iframe或者页面增加iframe。
         3),篡改页面类劫持:正常页面出现多余的劫持网页标签,导致页面整体大小发生变化。
  
防御
    1.  跳转型劫持,若用单纯靠Web页面进行检测比较困难
    2.  注入JS类:
          1) 改写document.write方法
          2) 遍历页面script标签,给外链JS增加白名单,不在白名单内js外链都上报
    3.iframe类:
          比较window.self 和window.top 或  比较parent 和 window,同时可增加白名单
          获取正确地址
           function getCorrectUrl() {
               var url ; 
                if(parent != window) {
                    try   {
                       url = parent.location.href;
                    }catch(){ 
                        url = document.referrer
                    }
                }
            }
     4.特殊方式
        类似电信捏造在白名单内的js URL和篡改页面内容的,我们用上面提到的方法检测不到这些信息,如果是在APP内,可以做的事情就比较多了,除了上面之外,还可以比较页面的 content-length。
    script内核心代码如下:
      function hiJackSniffer ()  
      var files = $ . toArray ( D . querySelectorAll ( 'script[src]' ));
      var arr =[];
      for ( var i = 0 , len = files . length ; i < len ; i ++){
        files [ i ]. src && arr . push ( files [ i ]. src );
          }
      if ( arr . length ){  
        return sendImg ( arr , 1 );
           }
      arr = getParentUrl ();
        if ( arr && arr . length ){   //被嵌入iframe
         return sendImg ([ arr ], 2 );
      }
       if ( D . documentElement . outerHTML . length > 4e3 ){
          var tmp ={};
          var headjs = $ . toArray ( D . head . querySelectorAll ( 'script' ));
         var unknownCode =[];
          if ( headjs . length ){
               unknownCode = unknownCode . concat ( headjs . map ( function ( v ){  
           return v . innerHTML ;
                 }). filter ( function ( v ){
            return !! v ;
          }));
         }
        var body = $ . toArray ( D . body . querySelectorAll ( '*' ));
         if ( body . length > 1 ){
           unknownCode = unknownCode . concat ( body . map ( function ( v )  
                    return v . outerHTML . split ( '\n' ). join ( '' )
                }). filter ( function ( str ){
                if ( /^<script id="b">/ . test ( str )){
                      return false ;
                }
            return true ;
           }));
          }
            return sendImg ( unknownCode , 3 );
             }
           sendImg ([], 0 );
        }

漏洞挖掘
   1)目标的HTTP响应头是否设置好了X-Frame-Options字段
        确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击
        DENY :标示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许
        sameorigin : 表示该页面可以在相同域名页面的 frame 中展示。
        allow-from uri :表示该页面可以在指定来源的 frame 中展示。
  
   2)目标是否有javascript的Frame Busting机制
   3)尝试用iframe嵌入网站

参考资料:

   XSS跨站脚步攻击及防范

   JavaScript防http劫持与XSS

   XSS的一些总结(原理+检测+防御)

   流量劫持 —— 浮层登录框的隐患


林涧
关注
专栏目录
什么是网页劫持,常见的劫持手法有哪些?
huazai520064的博客
12-31 5349
一、服务端劫持 服务端劫持的方法就是修改网站动态语言文本,改变了每次访问网页从服务端获取到的网页代码。判断访问来源控制返回内容,从来达到网站劫持的目的。 二、客户端劫持 客户端劫持的手法也很多,但主要就是2种:js劫持、Header劫持。每次访问网页从服务端获取到的网页代码都是相同的,只是控制了网页代码在浏览器中呈现的效果。 IIS7网站监控可以及时防控网站风险,快速准确监控网站是否遭到各种劫持攻击,网站在全国是否能正常打开(查看域名是否被墙),精准的DNS污染检测,具备网站打开速度检测功能,第一时间知道网
Web劫持详解:原理、实现方式及防护方法
最新发布
weixin_65409651的博客
07-22 1420
Web劫持是一种常见且危险的网络攻击方式,攻击者通过篡改网页内容或重定向用户请求,达到窃取信息、传播恶意软件或其他非法目的。本文将详细讲解Web劫持的原理、实现方式及有效防护方法,并指出在防护过程中需要注意的事项。
网站被劫持怎么办?劫持的原因有什么?
dexunjiaqiang的博客
01-02 1041
网站劫持是一种互联网攻击方式,通过攻击域名解析服务器(DNS)或伪造域名解析服务器(DNS),将目标网站域名解析到错误的IP地址,从而使得用户无法正常访问目标网站,或者被引导到恶意网站,以达到劫持者的目的。
网页劫持了该怎么办?dns被劫持如何修复?网页劫持介绍
douya0012的博客
01-02 4459
如果你打开网页,结果跳转到别的网页上,那毫无疑问,你被网页劫持了。出现这种情况的原因一般有四种,不过今天小编要为大家介绍的是如何解决这个网页劫持的问题。 网页劫持介绍   所谓的网站劫持就是打开一个网站,出现一个不属于网站范畴的广告,或者是无法跳转到某个不属于这个范畴的网页。   导致出现网页劫持的原因:   1、网站域名泛解析。   简单的说就是当你把域名放到搜索引擎里的时候,出来的页面与网站的业务没有多少关系。   2、浏览器被劫持。 网站浏览器被劫持就是当你使用一些浏览器的时候,会自动出现一个浏览器的
快快云安全,网站被劫持怎么办
kkwlss的博客
05-11 469
许多用户在搭建网站使用一段时间后,发现网站被劫持了,打开的页面并非自己的网站。网站被劫持有多种显示方式,有的肉眼可以发现,有的则很难发现。网站被劫持怎么办?下面就由快快云安全快快网络为您解析几种常见的劫持方式:1、网站跳转 这种劫持是最容易被发现的,只要打开网站就会跳转到其他网址。 聪明点的黑客会做Cookies限制,只会第一次打开是跳转,其他时候都正常访问,以迷惑网站管理员。2、劫持标题 黑客篡改网页标题,再通过一段javascript代码,让管理员用浏览器访问时看到的是正常网...
网页劫持与防范教程.zip
01-20
首先,我们来理解什么是网页劫持。攻击者通常通过中间人攻击(Man-in-the-Middle, MITM)手段,利用网络中数据传输的漏洞,获取并篡改用户与服务器之间的通信内容。例如,当用户访问一个网站时,攻击者可以伪造...
黑色浏览器 防止网页劫持
08-13
【标题】:“黑色浏览器 防止网页劫持”指的是这款浏览器软件采用了特定的设计和功能,旨在保护用户免受网页劫持的困扰。网页劫持通常是指恶意软件或不法分子通过各种手段篡改用户的浏览体验,比如强制重定向到钓鱼...
网络劫持是什么?网页被篡改劫持怎么修复(终级方案)网页劫持如何修复?
douya0012的博客
01-13 4970
目前我们遇到的网络劫持大多是运营商劫持,也就是http劫持,首先来说说运营商劫持的背景: 中国的网络环境相对复杂,除了电信、联通、移动是比较大的网络接入厂商,此外包含长城宽带、鹏博士、教育网、科技网、广电等等不少于20多家的小运营商。而且各个省市是相互独立运营。这就会导致网络出现跨网、跨运营商的情况会特别多,基本上很难避免。而各个运营商之间的出口带宽不尽相同,这很能是成为网络高峰的瓶颈。同时这种大量跨网访问的流量,在运营商之间会产生一笔很大的结算费用。也就是说运营商之间的互通是需要收费的。 作为运营商,面
什么是网站劫持
2301_77019676的博客
12-08 480
网站劫持是一种网络安全威胁,它通过非法访问或篡改网站的内容来获取机密信息或者破坏计算机系统。如果您遇到了网站劫持问题,建议您立即联系相关的安全机构或者技术支持团队,以获得更专业的帮助和解决方案。
什么是网站劫持?
高先生的猫
08-13 1345
百度搜索流量事件是网站劫持的其中一种表现。网站劫持还会导致以下问题: 用户输入正常网址跳转到其它地址,导致用户无法正常访问,网站流量受损; 通过泛域名解析生成大量子域名共同指向其它地址,跳转到非法网站,造成网站权重降低; 域名被解析到恶意钓鱼网站,导致用户财产损失,造成客户投诉;网站经常弹出广告,影响客户体验,造成信誉度下降。 那么究竟什么是网站劫持,又有哪些网站劫持的方式呢? 搜索引擎劫持 搜索引擎劫持简称搜索劫持,其实就是从搜索引擎来的流量自动跳转到指定的网页。可以通过未经用户授权,自动修.
网页出现不河蟹弹窗?那是被劫持了!
github_36774378的博客
01-28 218
作为攻城狮的二狗子,除了兢兢业业地工作,私下还经营着个人博客。凭借着博客中精彩丰富的文章,收获了一众粉丝。平常更一更文章,读一读粉丝留言,是二狗子无上的快乐。 这一天二狗子照例在闲余时间打开了留言:“咦?今天的粉丝格外热情呀,留言怎么这么多。”二狗子仔细一看,发现风格跟往日完全不符。 “二狗子,你怎么变成网游代言人了?” “狗子,一刀 999,带我一起飞呀?” “狗子狗子,你的博客被攻陷啦!” “二狗子,你的网站是不是被劫持了?” 满屏都是这种让二狗子满头问号的留言,满脸迷茫的二狗子懵逼地打开了自己的博客。
网站被劫持了怎么办
athena1999的博客
09-27 218
第二步、确认网站是否被黑客上传了文件并处理:打开网站服务器的FTP,查看是否存在异常文件并删除,可以通过文件修改时间来简单判定。第一步、确认域名解析并处理:如果打开的网站内容完全不是自己的请先检查域名解析和域名DNS服务器是否被篡改,如果域名没有解析到自己的服务器或增加了可疑解析记录,请及时处理并修改域名的管理密码。建议新建一个index.html文件,文件中只写几个数字,上传到网站根目录,然后访问网站域名,看看是不是正常,从而可以确定是程序问题还是域名被劫持的问题。
网页点击劫持科普
Yrish的博客
07-13 769
点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。它是通过覆盖不可见的框架误导受害者点击。虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。这种攻击利用了HTML中 <iframe> 标签的透明属性。特征 1、点击劫持是一种恶意攻击技术,用于跟踪网络用户,
在Word中插入高亮代码的方法
Always-Learning
11-02 929
使用pygments在线网站 pygments 网站样式 实现效果
h5上传图片_怎么搭建自己的H5响应式网站
weixin_39633452的博客
11-27 147
怎么搭建自己的H5响应式网站?大部分的企业朋友在考虑网站建设时的第一反应一般都是找网站建设公司,心想自己既不懂代码,又不懂设计,除了交给别人做还有什么方法吗?其实不然,下面梅江小程序制作公司圣辉友联先说说H5响应式网站建设前期准备和网站整体规划。 H5响应式网站建设前期准备 H5响应式网站建设前期准备对于一个网站的形成一般是包括域名,空间以及在内容上的正确的管理,主...
如何保护网站免受流量劫持
SSL加密技术
09-03 548
越来越多的在线欺诈行为称为劫持行为,盗贼可以窃取客户在电子商务网站上输入的数据,而无需购物者或网站所有者知道这种情况。 它发生在2018年的英国航空公司,当时有 38万客户的数据被网上转售劫持,而小企业也是如此。以下是您需要了解的有关此威胁以及如何保护您的电子商务网站的信息。 什么是劫持? Formjacking是一种趋势类型的数据泄露,在2018年出现在数据安全调查员的雷达上。去年,一家安...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值