Web安全-点击劫持

最新推荐文章于 2024-05-11 17:46:39 发布
最新推荐文章于 2024-05-11 17:46:39 发布
阅读量4.4k 收藏 3
点赞数 1
分类专栏: Web安全 文章标签: 安全 http 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuwusheng18/article/details/121779695
版权

一、点击劫持是什么?

点击劫持,也称为UI覆盖攻击 。通过引诱、诱惑用户点击到用户想去的网站(其实这个网站是攻击者做的),用iframe嵌套(或者其他技术均可,反正能够隐藏自己写的恶意链接或者网站)用户想看的网站,将自己的恶意链接隐藏,在使用技术手段将自己隐藏的网站覆盖在嵌套的iframe目标网站上(可以通过z-index设置),然后用户点击网站内容时,感觉是点击正常的目标网站,但是点击的是黑客隐藏的网站链接。

二、攻击原理

1.黑客创建一个网页利用iframe包含目标网站,隐藏自己的攻击网站,引诱用户点击特定链接或者按钮。用户感觉是点击了目标网站的按钮或者链接,实际上点击的是黑客网站的按钮或者链接。

2、用户不知情的情况下点击按钮,进行危险操作

三、如何防护

使用HTTP响应头-X-Frame-Options。

 可选值:

DENY: 拒绝任何freme页面

SAMEORIGIN: frame页面地址只能为同源域名下面

ALLOW-FORM origin:y允许frame加载的页面地址

如果我们是用nginx做集群或负载均衡一般都是配置在nginx,要不然还得一个服务器一个服务器的配置,配置如下:

add_header X-Frame-Options: SAMEORIGIN;

tomcat/conf/web.xml中配置,这个配置在tomcat/conf/web.xml中有,去掉注释就行。

<filter-mapping>
        <filter-name>httpHeaderSecurity</filter-name>
        <url-pattern>/*</url-pattern>
        <dispatcher>REQUEST</dispatcher>
</filter-mapping>

 <filter>
        <filter-name>httpHeaderSecurity</filter-name>
        <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>

        <init-param>

                 <param-name>antiClickJackingOption</param-name>

                    <param-value>SAMEORIGIN</param-value>

        </init-param>
        <async-supported>true</async-supported>
 </filter>

或则也可以在resport对象中设置影响头,不过这个方式很麻烦,需要每个页面都配置一次。

resport.addHeader("-X-Frame-Options", "SAMEORIGIN");

当我们设置了这个响应头之后,再跨域的情况下使用iframe加载网站:

 

壮乡码农
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web劫持
幸福诗歌的博客
01-22 399
跨浏览器攻漏洞将带来非常可怕的安全问题,该漏洞影响所有主流桌面平台,包括,IE,Firefox,Safari,Opera以及AdobeFlash。 有一天使用常用扫描工具来扫描指定网址漏洞(允许的安全研究测试),如Acunetix Web Vulnerability Scanner 等 发现点劫持漏洞 服务器没有返回X-Frame-Options标头,这意味着该网站可能面临点劫持...
tongweb中clickjacking(点劫持)的防御
王和平的第三个果园
11-30 685
劫持是一种网络安全问题,他的本质就是黑客利用诱骗的方式让请求者请求错误的或者对请求者不利的信息。比如本文的例子就是诱导请求者“脱美女衣服”其实是偷偷地让请求者付钱 点劫持的页面 警告:点这个页面上的“点付钱”按钮真的会让请求者付钱! <html> <head> <title>点劫持的页面</title> <style> button { position: absolute;
劫持:X-Frame-Options头缺失 in a frame because it set 'X-Frame-Options' to 'deny'
热门推荐
元宇宙1314
08-27 4万+
最近在一个扯蛋的项目中遇到一堆渗透测试的问题。其中有一个“X-Frame-Options漏洞”问题。我抓耳挠腮的一度不知道怎么解决,最后在我的不屑坚持下.......嘻嘻。愿遇到该BUG的人都能处理掉。我们先看看渗透报告中的东西,以失败而告终。 广告:由于我的博文《docker实现离线地图server》怎么写都搜不到,所以请原谅我这样无耻的推广~~:https://blog.csdn...
Apache Tomcat配置点劫持
mg4848的专栏
08-01 1899
Apache Tomcat配置点劫持在项目配置web.xml里添加配置<filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class> <ini
2024年网络安全-劫持(ClickJacking)的原理、攻及防御,从三流网络安全外包到秒杀阿里P7,
最新发布
2401_84253089的博客
05-11 910
2008年,安全专家Robert Hansen 与Jeremiah Grossman发现了一种被他们称为点劫持(ClickJacking)的攻。他们准备在OWASP安全大会上公布并进行演示,但是由于很多平台都中了招,包括Adobe在内的厂商要求在漏洞修补前不要公开此问题。
Tomcat 点劫持漏洞修改
灬勿忘丶心安
06-06 2922
修改 tomcat 的点劫持漏洞 一、修改 tomcat 的 web.xml 配置文件 修改web服务器配置,添加X-Frame-Options响应头。赋值有如下三种: 1、DENY:不能被嵌入到任何iframe或者frame中 2、SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中 3、ALLOW-FROM Uri:只能被嵌入到指定域名的框架中 &lt;...
web项目中常见漏洞及解决方案
weixin_42071232的博客
03-21 7559
1.X-Frame-Options劫持 漏洞类型:内容欺骗 描述: 点劫持(ClickJacking)是一种视觉上的欺骗手段。攻者使用一个透明的、不可见 的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知 情的情况下点透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点 在iframe页面的一些功能性按钮上。 HTTP 响应头信息...
服务器配置HSTS(IIS和Tomcat)
每天学习一点点
04-19 4700
如果缺少HSTS的配置,网站可能会被扫描出如下图所示的漏洞 服务器开启HSTS的方法 IIS操作方法: 确认是否安装 “URL 重写” 或者 “URL Rewrite” 模块 , 如果您已经安装可以跳过。 “URL重写” 模块下载地址 https://www.iis.net/downloads/microsoft/url-rewrite#additionalDownloads 已经安装模块的话,在iis的界面可以看到如下图所示的图标: 点“添加规则” .
web安全--project.zip
02-19
4. **HTTP头部安全**:设置正确的HTTP头部可以增强Web应用的安全性,如`Content-Security-Policy`、`Strict-Transport-Security`(强制HTTPS)、`X-Frame-Options`(防止点劫持)和`X-XSS-Protection`(启用浏览器...
web安全概览.pptx
06-30
本课件是组会作为分享使用,亦可作为团队前端安全培训入门使用,全课件主要讲解了sql注入,xss,csrf,点劫持等常见的web手段,及其一些防范措施,对于初入web安全的领域的新手十分有帮助。
劫持页面.rar
05-28
总的来说,"点劫持页面.rar"这个示例旨在提高我们对网页安全性的认识,特别是点劫持这种攻手段。通过学习和理解这种攻方式,我们可以更好地保护自己的网站,避免用户成为不法分子的目标。同时,这也提醒我们...
WEB渗透学习-XSS-labs靶场
04-20
它允许攻者通过注入恶意脚本到Web页面中,进而对用户浏览器进行操控。XSS-labs是一个专门针对XSS的学习平台,为网络安全从业者和新手提供了丰富的练习场景,帮助他们深入理解和掌握这种攻手段。 XSS-labs设计了...
Web-安全渗透全套教程02安全渗.zip
05-22
Web安全渗透是网络安全领域的重要组成部分,它涉及到对Web应用程序的深度测试,以发现并修复潜在的安全漏洞。本套教程“Web-安全渗透全套教程02安全渗”专注于讲解这一主题,帮助用户理解黑客可能利用的攻手段,并...
clickjacking漏洞的挖掘与利用
weixin_34144848的博客
03-08 367
px1624 · 2014/11/10 16:250x00简介1 说起clickjacking,很多人其实都不知道是干嘛的。比起XSS来说,clickjacking显得比较神秘,乌云漏洞库里面的相关的漏洞也不到10条而已。2 瞌睡龙之前发过一篇clickjacking的技术文档,主要是介绍clickjacking出现的原因,以及防御的方法。我这里主要是介绍,怎么寻找clickjacking以及怎么...
Tomcat 点劫持:X-Frame-Options Header未配置【已解决】
小小关的博客
06-30 1145
https://blog.csdn.net/ylf20131001/article/details/88550243?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165655115016781432930120%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=165655115016781432930120&biz_id=0&utm_medi
劫持漏洞(中) 主机入侵防范
建伟博客
03-22 1729
X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 &lt;frame&gt;, &lt;iframe&gt; 或者 &lt;object&gt;中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点劫持 (clickjacking) 的攻。X-Frame-Options有三种可配置值 X-Frame-Options: ...
渗透测试工具ZAP入门教程4)-OWASP ZAP警报详解
seanyang_的博客
05-29 2279
使用OWASP ZAP对网站进行安全扫描,扫描后发现一些警告。使用警告名称在百度进行搜索就能看到在OWASP ZAP网站上对应警告的解释。可以在如下地址输入alert查询。
网络安全-劫持(ClickJacking)的原理、攻及防御
关注网络安全、云原生安全
08-15 1万+
简介 2008年,安全专家Robert Hansen 与Jeremiah Grossman发现了一种被他们称为点劫持(Cli)的攻 原理 攻 防御
tomcat 配置修复X-Frame-Options 漏洞方法
小菜鸟的博客
04-12 2054
给您的网站添加X-Frame-Options响应头,赋值有如下三种: DENY:无论如何不在框架中显示; SAMEORIGIN:仅在同源域名下的框架中显示; ALLOW-FROM uri:仅在指定域名下的框架中显示。 具体配置:在tomcat/conf/web.xml中配置下面代码: web.xml搜索httpHeaderSecurity,首先放开httpHeaderSecurity的注释 然后添加部分语句,下面是完整配置: <filter> <filter-na..
web安全测试面试题
03-02
当面试官在Web安全测试方面提问时,可能会涉及以下一些常见的问题: 1. 什么是Web安全测试? Web安全测试是指对Web应用程序进行评估和检测,以发现其中存在的安全漏洞和风险。它旨在保护Web应用程序免受各种攻,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值