点击劫持漏洞

最新推荐文章于 2024-02-14 08:15:00 发布
最新推荐文章于 2024-02-14 08:15:00 发布
阅读量461 收藏 1
点赞数
文章标签: 运维 java php
原文链接:http://www.cnblogs.com/seeker01/p/7291585.html
版权

0x01:什么是点击劫持

点击劫持是一种视觉上的欺骗手段,攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户在不知情的情况下点击了透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上,攻击者常常配合社工手段完成攻击。

 

0x02 漏洞危害

攻击者精心构建的另一个置于原网页上面的透明页面。其他访客在用户毫不知情的情况下点击攻击者的页面从而完成攻击。具体危害取决Web应用。

 

0x03 POC代码

受害者点击“脱掉衣服“按钮,iframe会立即加载,请求www.baidu.com页面

<html>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<head>
<title>点劫持POC</title>
<style>
iframe { width: 1440px; height: 900px; position: absolute; top: -0px; left: -0px; z-index: 2; -moz-opacity: 0; opacity: 0; filter: alpha(opacity=0); }
button { position: absolute; top: 250px; left: 770px; z-index: 1; width: 80px; height:20px; }
</style>
</head>
<body>
<button>脱掉衣服</button>
<img src="http://b.hiphotos.baidu.com/image/pic/item/3ac79f3df8dcd1001341dbcd768b4710b8122f78.jpg">

<iframe src="http://wwwbaidu.com" scrolling="no"></iframe>
</body>
</html>

0x04 修复方案

X-FRAME-OPTIONS是目前最可靠的方法。X-FRAME-OPTIONS是微软提出的一个http头,专门用来防御利用iframe嵌套的点击劫持攻击。并且在IE8、Firefox3.6、Chrome4以上的版本均能很好的支持。

这个头有三个值:

DENY  // 拒绝任何域加载
SAMEORIGIN / / 允许同源域下加载
ALLOW-FROM  // 可以定义允许frame加载的页面地址

PHP代码:

header('X-Frame-Options:Deny');

header('X-Frame-Options:SAMEORIGIN);

配置 Apache

配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到 'site' 的配置中:
Header always append X-Frame-Options SAMEORIGIN

配置 nginx

配置 nginx 发送 X-Frame-Options 响应头,把下面这行添加到 'http', 'server' 或者 'location' 的配置中:
add_header X-Frame-Options SAMEORIGIN;

配置 IIS

配置 IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中:
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="SAMEORIGIN" />
</customHeaders>
</httpProtocol>
</system.webServer>

 

参考链接:

http://www.freebuf.com/articles/web/67843.html

http://www.cnblogs.com/lianzhilei/p/6429514.html

转载于:https://www.cnblogs.com/seeker01/p/7291585.html

weixin_34067980
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
点击劫持漏洞原理和复现
weixin_54438700的博客
05-20 3496
一、漏洞原理 点击劫持(Clickbandit),主要是利用HTML中iframe便签可以透明的属性进行利用攻击,其原理是通过在原本的网页上覆盖透明的框架并使受害者在不知情的情况下进行点击漏洞主要是由于未对referer字段来源进行检验。常常配合csrf和xss。 图中,攻击者在原本网站上覆盖一个透明框架,受害者正常访问网站A,就会点击到这个透明框架B。攻击者常常利用该漏洞诱导受害者点击关键位置进行一些操作,比如转账、购买等危险操作。 二、漏洞复现 1.借助burpsuite工具,选择Clickb
十四、点击劫持漏洞
weixin_46849264的博客
03-24 487
点击劫持漏洞
WEB应用程序点击劫持漏洞研究及防御方法
12-11
web程序劫持漏洞及防御的方法。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
第81篇:JSONP劫持漏洞获取敏感信息原理、复现与坑点总结
ABC_123的博客
11-25 2041
Part1 前言大家好,我是ABC_123。今天我们研究一下JSONP劫持漏洞,早些年这个漏洞主要被攻击者用来窃取个人信息,如姓名、身份证号、家庭住址等,现在更多的用于蜜罐之中,间接溯源红队攻击者的个人身份。好多朋友至今对这个漏洞理解不深刻,能发现能利用,但是就是不明白原理,有时候别人能复现成功,但是自己却怎么都复现成功。今天ABC_123搭建一个tomcat环境,用java代码写了几个ser...
点击劫持漏洞案例ppt
01-02
点击劫持---clickjacking
Click Jacking点击劫持漏洞验证.pdf
12-25
本文详细讲解Click Jacking点击劫持漏洞原理及利用方式。该漏洞成功利用的关键就是能够将伪造的网页源码覆盖到目标页面上,并且在受害者不知情的情况下诱导进行操作,可将操作记录打印输出到控制台。攻击者也可通过...
activity劫持
03-04
4. 零点击攻击:在某些情况下,攻击者甚至无需用户点击,只需利用系统漏洞或已存在的权限,就能在后台静默启动恶意Activity。 5. 使用反射和JNI(Java Native Interface):攻击者可能通过反射技术绕过Android的...
ngnix 漏洞修复文档
03-03
点击劫持是一种常见的攻击方式,攻击者可以通过 iframe 来劫持用户的点击事件。通过添加 add_header X-Frame-Options SAMEORIGIN; 可以解决这个问题。 10. Nginx 配置优化 Nginx 的配置也非常重要,需要注意 ...
JavaScript 的点击劫持(Clickjacking)
最新发布
爱蹦跶的全栈大A阿
02-14 2075
点击劫持是一种恶意攻击,攻击者会在用户不知情的情况下诱使用户点击他们想要点击的元素。通常情况下,攻击者会将一个透明的 iframe 覆盖在合法的网页上,并将其放置在用户可能点击的位置。当用户点击该位置时,他们实际上是在点击 iframe 中的恶意链接。窃取用户的个人信息:攻击者可以利用点击劫持来窃取用户的登录凭据、信用卡信息和其他敏感信息。感染用户的设备:攻击者可以利用点击劫持来诱使用户下载恶意软件或访问恶意网站,从而感染用户的设备。造成经济损失。
点击劫持
Bul1et的博客
10-31 673
其实点击劫持算不上什么大的漏洞  不过今天遇到了  就来说说 首先是通过扫描器扫到的这个漏洞 然后开始研究怎么复现 通过各种努力吧   最后自己写了一个POC  就可以验证了 第一种POC &lt;iframe id="victim" src="https://www.baidu.com/" scrolling="no" width="1300" height="600" frameb..
点击劫持漏洞(中) 主机入侵防范
建伟博客
03-22 1730
X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 &lt;frame&gt;, &lt;iframe&gt; 或者 &lt;object&gt;中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。X-Frame-Options有三种可配置值 X-Frame-Options: ...
【web安全】点击劫持(clickjacking)
余轩轩轩轩啊的博客
01-30 374
点击劫持: clickjacking,它是用过覆盖不可见的框架误导用户点击。 虽然用户点击的是他所看到的网页,但实际上是被黑客精心构建的另一个置于原网页上面的透明页面。 具体详情可参考:http://www.cnblogs.com/lovesong/p/5248483.html 解决措施:HTTP头—— X-Frame_Options. X-Frame-Options有三个值: DENY:表示该...
HTML点击劫持,一种点击劫持的测试方法及装置与流程
weixin_39872334的博客
06-27 976
本发明涉及漏洞防御技术领域,具体地说是一种点击劫持的测试方法及装置。背景技术:点击劫持是一种视觉上的欺骗手段,攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户在不知情的情况下点击了透明的iframe页面。该透明的页面可能包含一些危险的动作,比如支付、下载木马等,但实际用户并不能看到该透明的页面,而是看到攻击者想要你看到的看似安全的网站。攻击者通...
点击劫持技术原理简述
m0_38103658的博客
08-15 3011
界面劫持概念简述: 界面操作劫持攻击实际上是一种基于视觉欺骗的web会话劫持攻击,核心在于使用了标签中的透明属性,他通过在网页的可见输入控件上覆盖一个不可见的框,使得用户误以为在操作可见控件,而实际上用户的操作行为被其不可见的框所劫持,执行不可见框中的恶意代码,达到窃取信息,控制会话,植入木马等目的。 界面劫持发展过程: (点击劫持点击劫持又称UI-覆盖攻击,是2008年由互联网安全专家罗伯特·...
点击劫持攻防入门
Web分享
01-11 4544
简介 点击劫持(click jacking)也被称为 UI 覆盖攻击。它通过不可见框架底部的内容误导受害者点击,虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 原理 这种攻击利用了HTML中标签的透明属性。 在 HTML 中,我们可以在 iframe 里面嵌套另一个网页。通过设置 iframe 的透明度,可以使 iframe 不可见,同
【前端安全】点击劫持
Daisy
04-07 1241
点击挟持: 顾名思义,跟点击有关,挟持,意味着违背用户意愿做一件事情。 点击挟持,通过用户点击完成了另一个操作,用户并不知情。 通过iframe <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content...
nginx点击劫持漏洞修复
05-10
点击劫持是一种常见的 Web 安全漏洞,攻击者会将一个网站嵌入到另一个...综上所述,我们可以通过 X-Frame-Options 和 JavaScript 来防御点击劫持漏洞。建议开发人员在开发过程中注意防范这种漏洞,以保障用户的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值