鼠标自动点击脚本_613个主流网站中发现点击劫持脚本

最新推荐文章于 2024-07-20 15:07:19 发布
最新推荐文章于 2024-07-20 15:07:19 发布
阅读量411 收藏
点赞数
文章标签: 鼠标自动点击脚本
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39830906/article/details/111388607
版权

58c7221c9b79a47f69493d8410348545.gif

香港中文大学、微软研究院、韩国首尔大学和宾夕法尼亚大学的研究人员对点击劫持进行了研究,发现有613个主流网站存在拦截用户点击的恶意脚本。

Clickjacking即点击劫持,已经广泛应用于广告行业了,犯罪分子也利用它来执行在线广告的隐藏或其他用户并不希望的点击来增加收入。过去犯罪分子依赖恶意软件或自动化脚本来生成对隐藏广告的虚假点击,但近年来,犯罪分子开始劫持真实的用户点击。

研究人员开发了一个工具OBSERVER来扫描Alexa Top 250000的网站来确定其中是否使用以下三种方式来拦截用户点击的脚本:

1. 通过超链接拦截点击。恶意攻击者使用恶意脚本来围绕原始站点上的合法连接来劫持目的地。

4004ecf31131a13eda513b3de69c0413.png

2. 通过event handlers 拦截点击。恶意攻击者使用恶意脚本来修改网站的event handlers,劫持用户的鼠标点击,并重定向到web页的其他元素或区域。

7c2c3cf0286f363ee1c46ee90d6a3f69.png

3. 通过视觉欺骗拦截点击。恶意攻击者使用恶意脚本在合法站点上创建元素使其看起来就像是站点的原始内容,或在合法内容上创建一个透明的覆盖,这对其他元素来说就是一种劫持。

54828824c6db4fbf00b031c9f77dd9e3.png

研究人员使用OBSERVER共检测到有613个网站存在437个劫持用户点击的第三方脚本,这613个网站的每日访问量约为4300万。扫描结果如下:

9cdcc3c9f99bb11112739ae8ae79d0ad.png

其中一些恶意脚本被用来拦截点击,和点击广告来盈利,其他恶意脚本拦截用户点击并重定向用户到显示恐吓软件、技术支持邮件或兜售恶意软件的恶意站点中。

研究人员还检测到一些拦截用户点击的第三方脚本,这些脚本还会限制其拦截点击的频率以免被用户怀疑。根据收集的数据,大多数合法站点中的点击劫持脚本都是广告解决方案的一部分。

92107af2bf485687b00ea53adf5e8506.png

大约有36%的含有点击劫持的页面都是用来生成广告收入的。研究人员称造成这一问题泛滥的原因是在线广告上使用了更先进的方法可以检测主机生成的点击。因此,犯罪分子开始劫持真实的用户点击来替代之前自动化脚本或恶意软件执行的点击操作。

研究人员预测未来该问题会继续发展。为了保护用户,研究人员建议用户鼠标划过链接或点击链接前浏览器能显示关于创建链接的人,比如显示该链接是由原始站点域名添加的还是第三方添加的。

研究人员的成果已经被第28届USENIX安全大会录取

论文题目:All Your Clicks Belong to Me: Investigating Click Interception on the Web,

论文下载地址:https://www.usenix.org/system/files/sec19-zhang-mingxue.pdf

PPT下载地址:https://www.usenix.org/sites/default/files/conference/protected-files/sec19_slides_zhang-mingxue.pdf

0be05d5ead706bdd6bbf84effc6e8d34.png

33fdf338ba8df42463c80aa7aad2e4ec.png

weixin_39830906
关注
浏览器点击劫持详解
悦分享
07-03 128
点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。点击劫持原理示意图:看下面这个例子。在 h tp://www.a.com/test.html页面插入了一个指向目标网站的iframe,出于演示的目的,我们让这个iframe变成半透明:
Web安全之拖放劫持
墨痕诉清风的博客
03-14 306
拖放劫持发展历程: 在2010的Black Hat Europe大会上,Paul Stone提出了点击劫持的技术演进版本:拖放劫持。由于用户需要用鼠标拖放完成的操作越来越多(如复制粘贴、小游戏等等),拖放劫持大大提高了点击劫持的攻击范围,将劫持模式从单纯的鼠标点击拓展到了鼠标拖放行为。 最主要的是,由于拖放操作不受浏览器“同源策略“影响,用户可以把一个域的内容拖放到另一个不同的域,由此攻击者可能通过劫持某个页面的拖放操作实现对其他页面链接的窃取,从而获得session key,token,password
网页自动点击脚本
07-05
可以任意设定未来开始执行时间点和重复执行的时间间隔,此demo有直播点赞飘心的动画来演示效果。
windows鼠标自动点击py脚本
11-29
脚本可以指定时间点击指定区域,在windows下实现,利用Python3。
循环点击脚本
最新发布
2401_82756020的博客
07-20 440
有的游戏虽然有电脑端,但是自带检测功能,即使用管理员权限运行脚本,依然可以被途停止。目前有一种方法是用安卓模拟器,如nox运行游戏,然后执行python点击脚本。win10点击脚本一般可以用python或者autohotkey写出来。下面给一段python点击脚本的实测程序,会循环识别截图,然后点击。# 将脚本目录下的图片和截图对比,相符合点击对应的点。# 可能出现一个或多个。#将脚本目录下的图片和截图对比。
网页自动点击脚本(可用于自动评教)
热门推荐
weixin_59513554的博客
12-11 1万+
期末评教老师很多,为了避免浪费时间,可以用这个脚本来实现自动评教以及自动提交原理简单清楚,适合JS小白。
鼠标拖拽点击脚本
weixin_40572034的博客
09-18 1149
背景 因为我手速慢,总是抢不到预约的机时。故写此脚本。 原理 因为网页是JavaScript生成。使用PyHook3监听鼠标和键盘事件;使用pyautogui控制鼠标键盘。 安装第三方库 建议Python 3使用PyHook3库。(我在上面走了很多弯路) 而pyHook易产生路径错误(TypeError: MouseSwitch() missing 8 required positional arguments: ‘msg’, ‘x’, ‘y’, ‘data’, ‘flags’, ‘time’, ‘hw
一个鼠标点击脚本
ZXG20000的博客
02-01 383
【代码】一个鼠标点击脚本
前端主流面试官必问超详细面试题(整理完以秃头)持续更新
qq_43375584的博客
07-07 3975
CDN利用最靠近每位用户的服务器,更快、更可靠地将音乐、图片、视频、应用程序及其他文件发送给用户,来提供高性能、可扩展性及低成本的网络内容传递给用户。CDN的作用:(1)在性能方面,引入CDN的作用在于:(2)在安全方面,CDN有助于防御DDoS网络攻击:懒加载也叫做延迟加载、按需加载,指的是在长网页延迟加载图片数据,是一种较好的网页性能优化的方式。 比如:在较长的网页。如果有很多图片,所有的图片都被加载出来,而用户只能看到可视窗口的那一部分图片数据,这样就浪费了性能。如果我们使用图片的懒加载就可以解决
04 渗透测试基础
weixin_43234021的博客
01-04 1万+
渗透测试基础一 代码审计1 基础环境搭建(1) Web服务:WAMP+phpstudy(2) phpstudy2 HTML 表单 一 代码审计 1 基础环境搭建 (1) Web服务:WAMP+phpstudy (2) phpstudy 启动问题 端口正常开放 80 http 3306 mysql web根目录[C:\Users\dq\Documents\phpStudy-1-24\phpStudy\WWW] php 探针 phpinfo.php phpmyadmin Apache配置文件:[
B站 ----【狂神说Java】JavaScript学习笔记
weixin_46846929的博客
04-16 443
B站 ----【狂神说Java】JavaScript学习笔记 前言 非常感谢 【狂神说 Java 】的视频教程 【狂神说Java】JavaScript最新教程通俗易懂 1、Javascript简介 ​ Javascript是一门世界上最流行的脚本语言,其源代码在发往客户端之前不需要经过编译,而是将文本格式交由浏览器解释运行。 起源:由网景公司的Brendan Eich用10天就开发出来了。 == 一个合格的后端开发者,必须精通 JavaScript == ECMAScript是 JavaScript 的一个
简易鼠标点击脚本
04-03
简易鼠标点击脚本, 可设置位置,设置间隔时间,设置点击次数。需要安装有office
鼠标自动点击控制工具
08-06
NULL 博文链接:https://sanpic.iteye.com/blog/2086260
自动点击脚本
VVV_MW的博客
03-16 1087
配置文件张这样,需要的自己截图。一个简单的自动点击脚本
网页自动点击脚本_leet code 网页脚本自动
weixin_39568133的博客
11-30 7571
工具是 chrome:例子一:从到let pp = document.getElementsByClassName("filter-dropdown-button"); pp[0].click();chrome console 代码:let btn = document.getElementsByClassName("filter-dropdown-button"); /...
Python selenium —— Webdriver Exception cheat sheet
灰蓝
10-14 3293
之前整理了Python版webdriver的备忘单与xpath、css的备忘单,今天把Python webdriver的exception清单整理一下。Python Webdriver Exception Cheat Sheet上表大概罗列了Python Webdriver 的Exception以及出现该问题的原因,具体的代码解析与代码示例博主改天再给大家分享。HTML版如下: 异常 描述
php如何检测代码是否被劫持,Ajax实现检测网站劫持的方法
weixin_34123811的博客
03-22 286
这次给大家带来Ajax实现检测网站劫持的方法,Ajax实现检测网站劫持的注意事项有哪些,下面就是实战案例,一起来看一下。https可以彻底解决劫持的问题。但是一般虚拟主机都不支持 https,难道http只能任流氓们恶意劫持么?既然只有第一次访问时才会出现抽奖链接,通过JS在浏览器检测,如果发现 被植入的 代码,则自动刷新网页,就可以解决被劫持的问题了。现在要做的就是得到 被植入的代码。找了一圈...
网页自动点击脚本_用点击自动做攒攒任务脚本制作教程-无人值守定制版
weixin_39805644的博客
12-05 5830
攒攒app是一款通过手机赚钱的软件,在攒攒软件可以通过做任务赚点零花钱,攒攒里面的任务主要分为:D音任务、K手任务、微信阅读任务。以做D音任务为例,如果我们通过人工去做这些任务,不但枯燥无味,而且费时费力,赚点零花钱这种事情还是交给工具去做吧,下面就介绍一下用 i 点击器(各大应用商店搜索 i 点击器 均可下载)怎么来代替我们的手工操作。软件下载攒攒app下载与注册地址:http://reg....
Python自动点击鼠标脚本
ephram每天都想下班
12-12 3128
【代码】Python自动点击鼠标脚本
python鼠标自动点击脚本
03-26
以下是一个Python鼠标自动点击脚本的示例: ```python import pyautogui import time # 等待3秒钟让用户准备 time.sleep(3) # 获取屏幕尺寸 screenWidth, screenHeight = pyautogui.size() # 点击屏幕心位置 pyautogui.click(screenWidth // 2, screenHeight // 2) ``` 这个脚本使用了PyAutoGUI库来模拟鼠标点击。它先等待3秒钟以便用户可以准备,然后获取屏幕的尺寸,最后在屏幕的心位置进行点击。 要让这个脚本工作,您需要在计算机上安装PyAutoGUI库。您可以使用以下命令通过pip安装: ```bash pip install pyautogui ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值