实践理解 Web 安全 05 点击劫持

最新推荐文章于 2024-05-31 10:59:44 发布
原创 最新推荐文章于 2024-05-31 10:59:44 发布 · 326 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了点击劫持的两种常见手法——透明iframe和图片遮挡,介绍了其工作原理、示例及解决方案,包括设置X-Frame-Options头和防止CSS浮动攻击。

点击劫持

这种方式现在已经比较少见,仅作为了解。

点击劫持(ClickJacking)是一种视觉上的欺骗手段。

常见方式有两种:

  • 攻击者在自己的网页上使用一个透明的 iframe,覆盖在一个操作按钮或链接上,然后诱导用户点击,此时用户将在不知情的情况下点击透明的 iframe 页面
  • 攻击者在可以发布 HTML 内容的网站,发布一个图片链接,然后通过 CSS 让图片遮挡网页原有位置的内容

透明 iframe

示例

clickjacking.html攻击者的网页:

<!DOCTYPE html>
<html lang="en">
  <head>
    <meta charset="UTF-8" />
    <title>攻击者的网页</title>
  </head>
  <body>
    <iframe src="http://localhost:1000/transfer.html" style="position: absolute;top: 75px;left: -2px;background-color: red;opacity:0;"></iframe>
    <h1>在线美女聊天</h1>
    <button style="width: 100px; height: 50px; background-color: aqua;">进入聊天室</button>
  </body>
</html>

transfer.html被攻击网站的页面:

<!DOCTYPE html>
<html lang="en">
  <head>
    <meta charset="UTF-8" />
    <title>银行转账页面</title>
  </head>
  <body>
    <button onClick="alert('转账成功')" style="width: 100px; height: 50px">转账</button>
  </body>
</html>

打开 clickjacking.html

在这里插入图片描述

被攻击的网站被嵌入到攻击者的网页,并且被隐藏,覆盖到网页内容上,此时点击【进入聊天室】其实点击的是覆盖在上面的被攻击网站中的【转账按钮】。

显示嵌入的页面:

在这里插入图片描述

又或者百度贴吧刷粉:

<!DOCTYPE html>
<html lang="en">
  <head>
    <meta charset="UTF-8" />
    <title>攻击者的网页</title>
  </head>
  <body>
    <iframe src="https://tieba.baidu.com/f?kw=%D2%BB%BB%F7%C4%D0&fr=ala0&tpl=5" style="width:982px;height:500px;position: absolute;opacity:0;"></iframe>
    <h1>在线美女聊天</h1>
    <button style="width: 90px; height: 28px; margin:270px 0 0 300px">进入聊天室</button>
  </body>
</html>

在这里插入图片描述

在这里插入图片描述

解决办法

设置页面的 X-Frame-Options HTTP 响应头,指示页面是否允许在 <frame><iframe><embed><object> 中展现,这样可以确保网站没有被嵌入到别人的站点里,避免 ClickJacking 攻击。

设置的值:

  • deny:禁止页面加载在任何 frame 中,同域名页面中嵌套也不行。
  • sameorigin:页面允许在同域名页面的 frame 中展示
  • allow-from <uri>:页面可以在指定域名下页面的 frame 中展示,例如 allow-from http://example.com

例如:

  • 京东设置的 sameorigin
  • Facebook 设置的 deny
  • Twitter 设置的 deny

在这里插入图片描述

X-Frame-Options 只能通过服务器(IIS、Apache、Nginx等)配置,不能通过 <meta>配置。

更多解决办法参考 点击劫持攻击

图片遮挡

图片覆盖攻击,在被攻击网站发布可以自定义 css 或控制 css 的 HTML 图片内容,将图片覆盖在网页原有的内容之上,形成点击劫持。

例如发布一条评论内容:

<a href="http://bank.com/transfer?money=1000&account=xxxxxxxx">
	<img src="XXX" style="width:1000px;height:1000px;position:absolute;top:0;left:0;z-index:9999" />
</a>

这种方式同样适用于 <a> 标签等。

解决办法

检查用户提交的 HTML 代码中,<img><a> 等标签的属性是否可能导致浮出,对展示有用户提交内容的 DOM 做一些样式边界控制。

攻击者一般会放一张诱导性的图片,诱导用户点击。

总结

点击劫持算是一种很多人不大关注的攻击。

  • iframe 方式
    • 需要诱导用户进入自己的页面,还要与页面进行交互,实施的攻击成本更高。
    • 所做的是拦截一次浅层的点击,不能获取或诱导用户提交的信息,只能劫持一些直接操作,例如点赞、关注等
  • 图片遮挡
    • 主要是依靠这种方式进行 CSRF 攻击
    • 开发者做好 XSS 和 CSRF 防护,能防御大部分这类攻击
深入理解点击劫持(Clickjacking)漏洞及其防御
探索云原生与智能化驱动下的安全运维新范式。关注DevSecOps、可观测性、AIOps等前沿领域,与您共赴技术前沿。
08-29 583
点击劫持,也称为UI覆盖攻击或界面伪装攻击,是一种视觉欺骗类的网络攻击。攻击者通过在看似无害的网页上覆盖一个透明的层,诱导用户在不知情的情况下点击隐藏的、可能有害的元素。
Nginx配置各种响应头防止XSS,点击劫持,frame恶意攻击
weixin_47083537的博客
07-28 2285
为什么要配置HTTP响应头? 不知道各位有没有被各类XSS攻击、点击劫持 (ClickJacking、 frame 恶意引用等等方式骚扰过,百度联盟被封就有这些攻击的功劳在里面。为此一直都在搜寻相关防御办法,至今效果都不是很好,最近发现其实各个浏览器本身提供了一些安全相关的响应头,使用这些响应头一般只需要修改服务器配置即可,不需要修改程序代码,成本很低。至于具体的效果只能是拭目以待了,但是感觉还是有一定的效果的。 而这些HTTP响应头在我们部署 Nginx 的时候经常会被忽略掉,个人感觉这
Clickjacking (UI redressing)点击劫持
Eason_LYC安全白帽子的成长博客
05-13 2333
点击劫持(Clickjacking)全面梳理介绍,并有配套靶场练习。难得的学习材料。
浏览器被23545等网站劫持,以Chrome为例亲测有效的两个解除劫持的方法
qq_41620823的博客
09-12 3024
我这里以我被劫持的google浏览器即Chrome为例: 方法一: 修改浏览器的快捷方式,有人说删除快捷方式属性栏目标位置后的多的网址后缀有效,亲测无效。 真正有效的方式是:(1)找到你装的浏览器位置即如下文件位置,可以点击上图中的打开文件所在位置打开该路径; (2)删除原快捷方式,更改浏览器名字,右击新的浏览器图标,发送快捷方式到桌面。然后再打开就会转到你自定义的页面了。 ...
信息安全实践-Lab4 Click Jacking
sage_wang的博客
01-03 7203
“Clickjacking(点击劫持)是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼在2008年提出的。是一种视觉欺骗手段,在web端就是iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置。” 一、什么是点击劫持?   点击劫持 (Clickjacking) 技术又称为界面伪装攻击 (UI redress attack ),是一种视觉上的欺骗
一文带你读懂点击劫持详解+实验
Sp4rkW的博客
09-08 2977
这个漏洞听起来似乎比getshell还炫酷,但如果真正理解了,其实就会发现其实还是挺简单的 漏洞原理 点击劫持又称UI-覆盖攻击,是2008年由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼提出点击劫持的概念。因为首先劫持的是用户的鼠标点击操作,所以命名叫点击劫持。主要劫持目标是含有重要会话交互的页面,如银行交易页面、后台管理页面等。曾经 Twitter 和 Facebook 等著名站点的用户都遭受...
【笔记】结合CTF理解Web安全
最新发布
诗酒趁年华
05-31 1330
这三者关系是互补的,当SDL出现差错时,可以通过周期性的扫描,安全评估等工作将问题及时解决,而入侵检测(suricata),WAF(ModSecurity)等系统,则可以在安全事件发生后的第一时间进行响应,并有助于时候定损,如果三者只剩其一,都可能使得公司的安全体系出现短板,给攻击者带来可乘之机。
理解点击劫持:dbc文件与Web安全
理解和防范点击劫持Web开发者和安全专家的重要任务。通过学习《白帽子讲Web安全》,读者能够增强对网络安全理解,提高自己在面对不断演变的攻击手段时的防护能力。同时,这本书也强调了在设计和实施安全策略时,...
白帽子讲web安全_WEB安全_
09-29
《白帽子讲Web安全》这本书将详细讲解这些概念,提供实例解析,帮助读者理解Web安全的实际威胁,学习防范策略,提升网络安全防护技能。无论你是开发者、系统管理员还是网络安全爱好者,都能从中受益匪浅。
web安全期末复习文档,看这一篇就够啦!!!
06-16
理解这些基本概念和工具有助于开发者和安全专家构建更安全Web环境,防止数据泄露和攻击。在学习过程中,了解黑客攻击手段和防御策略是关键,同时掌握安全编程、定期漏洞扫描和安全更新等最佳实践也非常重要。通过...
解决一起web 页面被劫持的案例
weixin_30411997的博客
03-15 563
现象      江西客户手机端连接wifi打开URL,页面上显示淘宝店铺广告,使用手机移动网络打开正常,其他地区正常。 二.处理过程 初步分析:3g.club项目使用了CDN,目前只有江西异常,其他地区无异常,说明问题范围仅在江西地区,根据业务人员反馈的问题现象,以及以往类似问题处理经验,该问题原因是可能是...
web安全点击劫持(clickjacking)
热门推荐
infi
03-19 1万+
百度解释: 点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。 它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 这种攻击利用了HTML中标签的透明属性。 就像一张图片上
Web安全点击劫持(ClickJacking)
weixin_33871366的博客
03-06 1091
点击劫持(ClickJacking)是一种视觉上的欺骗手段。大概有两种方式,一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面;二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义; iframe覆盖 直接示例说明 1. 假如我们在百度有个贴吧,想偷偷让别人关注它。于是我们准备一个页面: &l...
web网页劫持是如何做到的、网页劫持是怎么做到的
chenchen199711的博客
12-16 5335
前几天看到一篇写js文件反劫持的文章,想起15年主导做百度搜索结果页面反劫持项目做得一些研究,整理成文章,跟大家分享。 常见劫持手段 按照劫持的方法不同,我将劫持分为下面两类: 跳转型劫持:用户输入地址A,但是跳转到地址B 注入型劫持:有别于跳转型型劫持,指通过在正常的网页中注入广告代码(js、iframe等),实现页面弹窗提醒或者底部广告等,又分为下面三个小类: 注入js类劫持:在正常页面注入劫持的js代码实现的劫持 iframe类劫持:将正常页面嵌入iframe或者页面增加iframe页面 篡改页面类劫
实践理解 Web 安全 07 第三方依赖安全问题
皮蛋很白的博客
01-31 1524
第三方依赖安全问题 现如今进行应用开发,无论是后端服务器应用还是前端应用开发,绝大多数时候我们都是在借助开发框架和各种类库进行快速开发。 据统计,一个应用有将近80%的代码其实是来自于第三方组件、依赖的类库等,而应用自身的代码其实只占了20%左右。 然而,一旦这些来自第三方的代码有安全漏洞(例如曾经的 lodash 原型污染),那么对应用整体的安全性依然会造成严峻的挑战。 对于前端开发来说,项目中可能会引入大部分 NPM 仓库的包,而我们知道,在 NPM 发布作品,NPM 不会做任何质量检查,只要包名没有重
实践理解 Web 安全 02 XSS 跨站脚本攻击
皮蛋很白的博客
01-31 1053
Cross-Site Scripting (跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID等,进而危害数据安全。 Cross-Site Scripting 的英文首字母本应为 CSS,但因为 CSS 在网页涉及领域已经被广泛指层叠样式表(Cascading Style Sheets),所以将 Cross(意为“交叉”)改以交叉形的 “X” 作为缩写。 但早期的文件
前端代码异常监控
皮蛋很白的博客
10-22 850
相关内容 什么是异常 JS 处理异常的方式 异常上报方式 异常监控上报常见问题 GitHub 前端代码异常监控方案 什么是异常 JS 脚本错误 一般分为语法错误 和 运行时错误 // 语法错误 // 语法错误在开发阶段就会暴露,所以一般不需要对其处理 var error = 'error'; // 大写分号 // Uncaught SyntaxError: Invalid or unexpected toke // 运行时错误 error // 未定义变量 // Uncaught ReferenceE
实践理解 Web 安全 04 CSRF 跨站请求伪造02
皮蛋很白的博客
01-31 807
CSRF 防护策略 CSRF 通常从第三方网站发起,被攻击的网站无法防止攻击发生,只能通过增强自己网站针对 CSRF 的防护能力来提升安全。 之前讲的 CSRF 的两个特点: CSRF(通常)发生在第三方域名 CSRF攻击者不能获取 Cookie 信息,只是冒用 针对这两点,我们可以专门制定防护策略: 阻止不明外域的访问 同源检测 SameSite Cookie 提交时要求附加本域才能获取的信息 CSRF Token 双重 Cookie 验证 同源检测 既然 CSRF 大多来自第三方网站
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值