(四)Clickjacking-点击劫持

最新推荐文章于 2024-04-28 21:30:00 发布
最新推荐文章于 2024-04-28 21:30:00 发布
阅读量288 收藏
点赞数
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43047908/article/details/115445772
版权

什么是点击劫持

Clickjacking是一种基于界面的攻击,其中,通过诱骗用户单击诱饵网站中的某些其他内容,诱骗用户单击隐藏网站上的可操作内容。

考虑以下示例:

网络用户访问诱饵网站(也许这是电子邮件提供的链接),然后单击按钮以赢取奖金。不知不觉中,它们已被攻击者欺骗,诱使他们按下了其他隐藏按钮,从而导致了另一个站点上的帐户付款。这是一个点击劫持攻击的示例。该技术取决于在iframe中包含按钮或隐藏链接的不可见,可操作的网页(或多个页面)的合并。iframe覆盖在用户预期的诱饵网页内容之上。

此攻击与CSRF攻击的不同之处在于,要求用户执行按钮单击之类的操作,而CSRF攻击则取决于在用户不知情或没有输入的情况下伪造整个请求。

通常通过使用CSRF token来提供针对CSRF攻击的保护:令牌是特定于会话的,一次性使用的数字或随机数。

CSRF token 无法缓解Clickjacking攻击,因为目标会话是使用从真实网站加载的内容建立的,并且所有请求都在域内发生。CSRF token被放入请求中,并作为正常行为会话的一部分传递给服务器。与普通用户会话相比,差异在于该过程发生在隐藏的iframe中。

如何构建基本的点击劫持攻击

点击劫持攻击使用CSS创建和操纵图层。攻击者将目标网站合并为诱饵网站上覆盖的iframe图层。使用样式标签和参数的示例如下

<head>
  <style>
    #target_website {
      position:relative;
      width:128px;
      height:128px;
      opacity:0.00001;
      z-index:2;
      }
    #decoy_website {
      position:absolute;
      width:300px;
      height:400px;
      z-index:1;
      }
  </style>
</head>
...
<body>
  <div id="decoy_website">
  ...decoy web content here...
  </div>
  <iframe id="target_website" src="https://vulnerable-website.com">
  </iframe>
</body>

目标网站iframe定位在浏览器中,因此使用适当的宽度和高度位置值,目标动作与诱饵网站存在精确的重叠。无论屏幕大小,浏览器类型和平台如何,绝对位置值和相对位置值均用于确保目标网站准确地与诱饵重叠。Z索引确定iframe和网站层的堆叠顺序。不透明度值定义为0.0(或接近0.0),以使iframe内容对用户透明。浏览器点击劫持保护可能会应用基于阈值的iframe透明度检测(例如,Chrome 76包含此行为,但Firefox不包含)。攻击者选择不透明度值,以便在不触发保护行为的情况下获得所需的效果。

实例

Basic clickjacking with CSRF token protection

她总是阴雨天
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
点击劫持”测试「Clickjacking Test」-crx插件
03-09
通过Offcon Info Security进行的Clickjacking测试。 此chrome扩展程序将检查是否可以对当前网页进行格式化,甚至生成用于安全报告的概念证明HTML。 支持语言:English
Lab: Basic clickjacking with CSRF token protection:使用CSRF令牌保护的基本点击劫持
Zeker62的博客
08-23 271
靶场内容: 该实验室包含登录功能和受CSRF 令牌保护的删除帐户按钮。用户将点击诱饵网站上显示“点击”一词的元素。 为了解决这个实验,制作一些 HTML 来构建帐户页面并欺骗用户删除他们的帐户。删除帐号后,实验室就解决了。 您可以使用以下凭据登录自己的帐户: wiener:peter 注意 受害者将使用 Chrome,因此请在该浏览器上测试您的漏洞利用。 靶场解决方法 说实话,这就是一个隐...
Burpsuite官方实验室之点击劫持
tpaer的博客
11-17 2298
这是BurpSuit官方的实验室靶场,以下将记录个人点击劫持共5个Lab的通关过程。
Web 安全之点击劫持Clickjacking)攻击详解_点击劫持攻击
最新发布
2401_84578953的博客
04-28 1204
点击劫持Clickjacking)攻击,又称为界面伪装攻击,是一种利用视觉欺骗手段进行攻击的方式。攻击者通过技术手段欺骗用户点击本没有打算点击的位置,当用户在被攻击者攻击的页面上进行操作时,实际点击结果被劫持,从而被攻击者利用。这种攻击方式利用了用户对网站的信任,通过覆盖层(通常是透明的iframe)覆盖在另一个网页之上,使受害者无法察觉。
点击劫持(ClickJacking)
sh0rk的博客
11-03 2689
点击劫持什么是点击劫持?方法进阶(本质上还是UI覆盖攻击,只是实现手段不一样)防御 什么是点击劫持点击劫持(ClickJacking),又称“UI-覆盖攻击”,通过覆盖不可见的框架误导受害者进行点击而造成的攻击行为。其本质是一种视觉欺骗。 方法 利用iframe或其他标签的属性构造一个精心构造的页面,诱导受害者进行点击。 &amp;lt;!DOCTYPE HTML&amp;gt; &amp;lt;html&amp;gt; &amp;...
点击劫持ClickJacking
热门推荐
qq_56327824的博客
03-30 1万+
点击劫持ClickJacking) 什么是点击劫持 点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的,不可见的iframe,覆盖在一个网页上,然后诱导使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱导用户恰巧点击在iframe页面的一些功能性按键上 不懂iframe是干什么的同学,自己补充一下 利用iframe <!DOCTYPE html> <html lang="en"> <head>
信息安全实践-Lab4 Click Jacking
sage_wang的博客
01-03 6978
Clickjacking点击劫持)是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼在2008年提出的。是一种视觉欺骗手段,在web端就是iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置。” 一、什么是点击劫持?   点击劫持 (Clickjacking) 技术又称为界面伪装攻击 (UI redress attack ),是一种视觉上的欺骗
Clickjacking Test-crx插件
04-02
语言:English Offcon Info Security的点击劫持测试 此chrome扩展程序将检查是否可以对当前网页进行格式化,甚至生成用于安全报告的概念证明HTML。
点击劫持页面.rar
05-28
点击劫持Clickjacking)是一种恶意攻击手段,它利用透明或半透明的iframe层来欺骗用户点击原本不想点击的元素,从而达到攻击者的目的。这个"点击劫持页面.rar"文件提供了一个静态页面示例,用于演示这种攻击方式,...
no-clickjacking
05-16
点击劫持 Google Chrome扩展程序v1.1: Firefox扩展v1.1: Safari Extension v1.1: 变更记录 2013-11-19 更新了不透明度检查,将所有小于0.1的不透明度视为已隐藏。 某些站点已使用负值(-1)或非零值(0.01)...
点击劫持漏洞案例ppt
01-02
点击劫持---clickjacking
Web 安全之点击劫持Clickjacking)攻击详解
路多辛的所思所想
01-27 2146
点击劫持Clickjacking)攻击,又称为界面伪装攻击,是一种利用视觉欺骗手段进行攻击的方式。攻击者通过技术手段欺骗用户点击本没有打算点击的位置,当用户在被攻击者攻击的页面上进行操作时,实际点击结果被劫持,从而被攻击者利用。这种攻击方式利用了用户对网站的信任,通过覆盖层(通常是透明的iframe)覆盖在另一个网页之上,使受害者无法察觉。
点击劫持概念及解决办法
xswlw_guoquanbao的博客
09-14 898
点击劫持 (Clickjacking) 技术又称为界面伪装攻击 (UI redress attack ),是一种视觉上的欺骗手段。攻击者使用一个或多个透明的 iframe 覆盖在一个正常的网页上,然后诱使用户在该网页上进行操作,当用户在不知情的情况下点击透明的 iframe 页面时,用户的操作已经被劫持到攻击者事先设计好的恶意按钮或链接上。攻击者既可以通过点击劫持设计一个独立的恶意网站,执行钓鱼攻击等;也可以与 XSS 和 CSRF 攻击相结合,突破传统的防御措施,提升漏洞的危害程度。
Clickjacking (UI redressing)点击劫持
Eason_LYC安全白帽子的成长博客
05-13 1987
点击劫持Clickjacking)全面梳理介绍,并有配套靶场练习。难得的学习材料。
网络安全-点击劫持ClickJacking)的原理、攻击及防御
关注网络安全、云原生安全
08-15 1万+
简介 2008年,安全专家Robert Hansen 与Jeremiah Grossman发现了一种被他们称为点击劫持(Cli)的攻击 原理 攻击 防御
【Web安全】点击劫持 Click Jacking
RexHa的博客
10-16 1035
点击劫持是一种视觉上的欺骗手段。攻击者用一个透明的、不可见的iframe,覆盖在一个网页上,诱使用户在该网页上进行操作,使用户在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以使用户恰好点击在iframe的一些功能性按钮上。通俗的讲,就是你在点击一个“网页”的某个位置时,很可能是点击了隐藏在页面下的某个按钮,从而达到了黑客的某些目的,这对用户来说是不可见的。相对于XSS和CSRF,需要与用户进行交互,实施攻击的成本较高,在网络犯罪中比较少见。
点击劫持漏洞
weixin_52501704的博客
02-07 3249
点击劫持漏洞学习
Bypassing CSRF protections wich clickjacking and http parameter Pollution
cnbird's blog
03-14 763
This idea occurred to me a few weeks back when discussing the potential impact of ClickJacking attacks with Luca. Submitting forms using ClickJacking is hard work and is only successful in very rare s
什么是点击劫持
粥可温
11-06 345
点击劫持是什么:点击劫持ClickJacking)是一种视觉上的欺骗手段 。 攻击者使用一个透明的(即不可见的) iframe 页面,覆盖在一个正常网页上,然后诱使用户点击该网页,这时用户就会在不知情的情况下点击那个透明的 iframe 。 通过精心调整透明 iframe 的位置,就可以诱使用户恰好点击在所设计的恶意按钮上 。 例如: 攻击者开发一个网站内容为两层 底层:某种让人想要有点击欲望的图或者布局,如一个红包上面一个跳动的“开”字。 上层:通过iframe嵌套某社交网站他的主页,并且设置透明
Web安全入门:SQL注入、XSS与CSRF防范详解
课程涵盖了SQL注入、XSS(跨站脚本攻击)、CSRF(跨站请求伪造)和点击劫持种常见的web攻击手段。 1. SQL注入:这是一种恶意攻击方式,攻击者通过在输入字段中插入恶意SQL代码,破坏应用程序与数据库的交互。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值