点击挟持

最新推荐文章于 2024-05-11 17:46:39 发布
最新推荐文章于 2024-05-11 17:46:39 发布
阅读量769 收藏
点赞数
分类专栏: 安全相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhaolina004/article/details/17759649
版权
点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一
个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe

页面上的某个按钮或者链接。通过调整iframe 页面的位置,可以诱使用户恰好点击在iframe 页面的一些功能性按钮上。

一个简单的实例如下:

clickjacking.html代码

<style>
#click {
	width: 100px;
	height: 20px;
	position: absolute;
	left: 20px;
	z-index: 1;
}
#hidden {
    height: 50px;
	position: absolute;
	
	width: 120px;
	filter: alpha(opacity=50);
	opacity:0.5;
	z-index: 2;
}
</style>
</head>
<body>
<input id="click" value="Click me" type="button"/>
<iframe id="hidden" src="inner.html" scrolling="no"> <iframe>
</body>
</html>

注意:IE使用私有的CSS属性,filter:alpha(opacity=50),0表示透明,100不透明

Chrome、Firefox、Opera等使用opacity:0.5  ,0表示透明

inner.html代码如下:

<style>
#click {
	width: 100px;
	height: 20px;
	position: absolute;
	left: 20px;
	z-index: 1;
}
#hidden {
    height: 50px;
	position: absolute;
	
	width: 120px;
	filter: alpha(opacity=50);
	opacity:0.5;
	z-index: 2;
}
</style>
</head>
<body>
<input id="click" value="Click me" type="button"/>
<iframe id="hidden" src="inner.html" scrolling="no"> <iframe>
</body>
</html>

效果图如下:



「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
点击劫持概念及解决办法
xswlw_guoquanbao的博客
09-14 886
点击劫持 (Clickjacking) 技术又称为界面伪装攻 (UI redress attack ),是一种视觉上的欺骗手段。攻者使用一个或多个透明的 iframe 覆盖在一个正常的网页上,然后诱使用户在该网页上进行操作,当用户在不知情的情况下点击透明的 iframe 页面时,用户的操作已经被劫持到攻者事先设计好的恶意按钮或链接上。攻者既可以通过点击劫持设计一个独立的恶意网站,执行钓鱼攻等;也可以与 XSS 和 CSRF 攻相结合,突破传统的防御措施,提升漏洞的危害程度。
web安全——点击劫持(ClickJacking)
Spontaneous_0的博客
01-15 691
web安全——点击劫持(ClickJacking)
2024网络安全-点击劫持(ClickJacking)的原理、攻及防御,从三流网络安全外包到秒杀阿里P7,
最新发布
2401_84253089的博客
05-11 921
2008安全专家Robert HansenJeremiah Grossman现了一种被他们称为点击劫持(ClickJacking)的攻。他们准备在OWASP安全大会上公布并进行演示,但是由于很多平台都中了招,包括Adobe在内的厂商要求在漏洞修补前不要公开此问题。
2024网络安全山东省赛-SMB信息收集解析(中职组)_使用访问工具对服务器服务访问,将服务器中管理员桌面的文本文档里的内容作为 flag
2401_84252281的博客
04-26 688
任务环境说明:服务器场景:Server1。
点击劫持漏洞
qq_50854662的博客
08-15 2248
点击劫持漏洞
「第五章」点击劫持(ClickJacking)
hacckjacking
01-22 870
「第五章」点击劫持(ClickJacking) 「第五章」点击劫持(ClickJacking) 批注 [……] 表示他人、自己、网络批注 参考资料来源于 * 书中批注 * CSDN * GitHub * Google * 维基百科 * YouT...
点击劫持漏洞案例ppt
01-02
点击劫持---clickjacking
点击劫持页面.rar
05-28
点击劫持(Clickjacking)是一种恶意攻手段,它利用透明或半透明的iframe层来欺骗用户点击原本不想点击的元素,从而达到攻者的目的。这个"点击劫持页面.rar"文件提供了一个静态页面示例,用于演示这种攻方式,...
Lab5:点击劫持
02-16
点击劫持示例-Python 建立例子 克隆这个git仓库 运行docker-compose build && docker-compose up注意,第一次可能要花几分钟。 由于docker将缓存php容器使用的软件包,因此在后续执行中将更快。 打开浏览器并导航到...
clickjackingpoc:点击劫持的概念证明
05-24
点击劫持PoC 旨在使您的点击劫持事件变得更好,更轻松的工具。 更新 现在,在服务器日志中捕获信誉,并添加一条消息,要求提供赏金! 概述 一种基于Web的ClickJacking PoC工具。 跑步 确保您已安装php(默认安装在...
WEB应用程序点击劫持漏洞研究及防御方法
12-11
web程序劫持漏洞及防御的方法。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
web安全————clickjacking(点击劫持
longger_lee
12-14 7389
点击劫持(clickjacking)       点击劫持最早是在08安全专家Reboot HansenJeremiah Grossman现,这种攻方式影响了几乎所有的桌面平台。那么什么是点击劫持??点击劫持其实是一种视觉上的欺骗手段,攻者将一个透明的、不可见的iframe覆盖在一个网页上,通过调整iframe页面位置,诱使用户在页面上进行操作,在不知情的情况下用户的点击恰好是点击
web安全 点击劫持 ClickJacking
金溪的博客
09-13 2629
描述 点击劫持是一种视觉上的欺骗手段,攻者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网而上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上。HTTP响应头信息中的X-Frame-Option,可以指示浏览器是否应该加一个iframe中的页面。如果服务器响应头信息中...
点击劫持技术原理简述
m0_38103658的博客
08-15 3004
界面劫持概念简述: 界面操作劫持实际上是一种基于视觉欺骗的web会话劫持,核心在于使用了标签中的透明属性,他通过在网页的可见输入控件上覆盖一个不可见的框,使得用户误以为在操作可见控件,而实际上用户的操作行为被其不可见的框所劫持,执行不可见框中的恶意代码,达到窃取信息,控制会话,植入木马等目的。 界面劫持展过程: (点击劫持点击劫持又称UI-覆盖攻,是2008由互联网安全专家罗伯特·...
点击劫持(ClickJacking)
sh0rk的博客
11-03 2688
点击劫持什么是点击劫持?方法进阶(本质上还是UI覆盖攻,只是实现手段不一样)防御 什么是点击劫持点击劫持(ClickJacking),又称“UI-覆盖攻”,通过覆盖不可见的框架误导受害者进行点击而造成的攻行为。其本质是一种视觉欺骗。 方法 利用iframe或其他标签的属性构造一个精心构造的页面,诱导受害者进行点击。 &amp;lt;!DOCTYPE HTML&amp;gt; &amp;lt;html&amp;gt; &amp;...
Web服务器点击劫持(ClickJacking)的安全防范
个人技术博客
01-10 4567
一.介绍 ClickJacking即点击劫持,是一种将恶意代码经过处理使其变成透明、不可见的iframe,并将其覆盖在一个网页上,然后诱使用户在该网页上进行点击操作。通过改变iframe的在页面的位置,可以诱使用户正好点击我们设置好的透明iframe。 二.防御 1.Frame Busting 这种方式是通过写JavaScript来禁止iframe嵌套,因为可以轻易饶过,所以这里不介绍了。
点击劫持攻防入门
Web分享
01-11 4543
简介 点击劫持(click jacking)也被称为 UI 覆盖攻。它通过不可见框架底部的内容误导受害者点击,虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 原理 这种攻利用了HTML中标签的透明属性。 在 HTML 中,我们可以在 iframe 里面嵌套另一个网页。通过设置 iframe 的透明度,可以使 iframe 不可见,同
【前端安全点击劫持
Daisy
04-07 1240
点击挟持: 顾名思义,跟点击有关,挟持,意味着违背用户意愿做一件事情。 点击挟持,通过用户点击完成了另一个操作,用户并不知情。 通过iframe <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content...
如何防止fraud clicks(欺骗点击作弊)的分析
MemRay
05-02 1665
想要抓东西,又要绕过网站的防抓取机制,必须按照一些套路才行。记得之前师门讨论用户单位时间内访问网页的次数呈现泊松分布,因此针对性的搜了一下资料。   随着在线广告的流行,pay by per click (每次点击付钱)的模式 逐渐被大家接受。可是随之而来的问题就是fraud clicking的预防迫在眉捷,因为这将直接关系到这种广告模式能否长久生存和能否成为一种真正的网站拥有者的收入来源。下
nginx点击劫持漏洞修复
05-10
点击劫持是一种常见的 Web 安全漏洞,攻者会将一个网站嵌入到另一个网站中,通过隐藏或者伪装的方式,欺骗用户去点击一个看似无害的链接,从而实现攻者的恶意目的。nginx 本身并没有针对点击劫持的专门防御机制...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值