点击劫持（Clickjacking）深度解析

csdn_tom_168

于 2025-06-24 00:20:18 发布

阅读量958

点赞数 15

CC 4.0 BY-SA版权

分类专栏：安全文章标签：安全 Clickjacking 学习

本文链接：https://blog.youkuaiyun.com/csdn_tom_168/article/details/148834915

安全专栏收录该内容

11 篇文章

订阅专栏

点击劫持（Clickjacking）深度解析

一、攻击原理与核心机制

1.1 基础攻击原理

点击劫持通过恶意网页框架（iframe）覆盖合法页面元素，诱使用户在无意间点击恶意按钮或链接。攻击流程如下：

1.2 攻击三要素

视觉欺骗：通过CSS定位将恶意元素覆盖在合法内容上
用户交互：利用正常操作（如点击、拖拽）触发隐藏功能
会话保持：用户已登录目标网站的有效Cookie

二、攻击类型与变种

2.1 基础攻击分类

类型	攻击场景	示例Payload
经典点击劫持	诱骗转发/点赞	`<iframe src="https://social.com" style="opacity:0.1">`
喜欢劫持	社交媒体虚假互动	`<div style="position:absolute;top:100px;left:50px"><iframe src="https://fb.com/like"></div>`

2.2 高级攻击变种

触摸劫持：

<!-- 移动端触摸事件劫持 -->
<style>
#target {
    position: absolute;
    top: 200px;
    opacity: 0;
    z-index: 999;
}
</style>
<div id="target" onclick="maliciousAction()"></div>
<iframe src="https://bank.com/transfer" style="opacity:0.5"></iframe>

拖放劫持：

// 监听拖放事件
document.addEventListener('dragover', function(e) {
    e.dataTransfer.setData('text/plain', 'malicious_data');
});

三、防御技术体系

3.1 核心防御策略

帧爆破技术（Frame Busting）：

// 经典帧爆破脚本
if (top !== self) {
    top.location.replace(self.location.href);
}

X-Frame-Options头：

X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN

3.2 现代防御框架

内容安全策略（CSP）：

Content-Security-Policy: frame-ancestors 'self' https://trusted.com;

同源策略增强：

// 严格同源检查
function checkOrigin() {
    if (document.referrer.indexOf(window.location.origin) !== 0) {
        window.location.href = '/error';
    }
}

3.3 验证强化方案

双重提交Cookie：

Set-Cookie: sessionid=abc123; SameSite=Strict; Secure

用户交互验证：

// 关键操作二次确认
function performSensitiveAction() {
    const confirmation = prompt("请输入验证码：");
    if (confirmation === '1234') {
        submitForm();
    }
}

四、漏洞检测方法

4.1 手动检测流程

检查所有页面元素定位
分析iframe使用情况
测试透明覆盖可能性：
- 调整元素opacity属性
- 检查z-index层级关系
验证关键操作防护措施

4.2 自动化扫描工具

OWASP ZAP扫描策略：

<ClickjackingScanner>
  <TestStep name="Test Frameable Pages">
    <Request method="GET" url="/sensitive-operation" />
    <Validation>
      <CheckFor>X-Frame-Options header</CheckFor>
      <CheckFor>CSP frame-ancestors directive</CheckFor>
    </Validation>
  </TestStep>
</ClickjackingScanner>

Burp Suite插件：

Clickjacking Scanner
Active Scan++
Collaborator Everywhere

五、经典案例分析

5.1 历史重大事件

2010年Twitter点击劫持攻击：

攻击向量：iframe覆盖"转发"按钮
影响范围：用户无意间传播恶意链接
防御改进：全局部署X-Frame-Options

2018年PayPal钓鱼攻击：

漏洞成因：未限制iframe嵌套
攻击手法：伪造登录页面覆盖真实内容
修复方案：实施CSP frame-ancestors策略

5.2 防御失败案例

某在线银行转账漏洞：

漏洞成因：仅依赖客户端帧爆破
攻击手法：绕过JavaScript防御
修复建议：增加服务端同源检查

六、合规与标准要求

6.1 法规要求映射

标准	条款要求	实施建议
PCI DSS	6.5.8	关键支付页面防御点击劫持
GDPR	32(1)(b)	用户交互操作实施安全防护
ISO 27001	A.14.2.5	实施Web应用防火墙规则
NIST 800-53	SC-8, SC-18	配置内容安全策略

七、前沿防御技术

7.1 AI驱动的检测

行为分析模型：

收集正常用户点击模式
识别异常点击位置分布
结合设备指纹进行风险评分

7.2 浏览器防护

Chrome帧隔离：

独立进程渲染跨域iframe
限制跨域通信通道

Firefox点击劫持防护：

about:config设置：
- dom.disable_window_move_resize = true
- dom.disable_window_flip = true

八、企业防护实践

8.1 开发阶段控制

8.2 运营阶段监控

关键指标监测：

违规框架嵌套次数
异常页面布局请求
用户交互异常检测
防御策略命中率

应急响应流程：

隔离受影响页面
分析攻击来源域名
更新WAF防护规则
推送安全配置更新