Web 漏洞分析与防御之点击劫持(三)

点击劫持攻防解析
最新推荐文章于 2020-12-25 19:43:57 发布
最新推荐文章于 2020-12-25 19:43:57 发布
阅读量104 收藏
点赞数
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/moonlightL/p/7676670.html
本文介绍了点击劫持攻击的基本原理及其实施方式,通过实例演示了如何利用iframe元素实现点击劫持攻击,并提供了多种防御措施,包括使用JavaScript阻止页面被嵌套及设置X-Frame-Options HTTP响应头。

原文地址:Web 漏洞分析与防御之点击劫持(三)
博客地址:http://www.extlight.com

一、全称

点击劫持,顾名思义,用户点击某个按钮,却触发了不是用户真正意愿的事件。

二、原理

用户在登陆 A 网站的系统后,被攻击者诱惑打开第三方网站,而第三方网站通过 iframe 引入了 A 网站的页面内容,用户在第三方网站中点击某个按钮(被装饰的按钮),实际上是点击了 A 网站的按钮。

三、演示攻击

演示图如下:

image

用户登录论坛系统后,被攻击者诱骗点击第三方网站,并在第三方网站中点击某个按钮(鼠标没法录制),结果却触发了论坛系统的发言请求。

我们xian 查看“点击劫持.html”文件的源码:

<!DOCTYPE html>
<html lang="zh">
<head>
    <meta charset="UTF-8">
    <title>点击劫持</title>
</head>
<body style="background: url(bg.jpg) no-repeat;">
    <iframe style="opacity: 0" src="http://localhost:8080/article/articleList" width="740" height="460"></iframe>
</body>
</html>

bg.jpg 就是显示美女字样的图片,页面使用 iframe 元素引用论坛系统的文章界面,将 iframe 透明化。

我们通过浏览器调试工具查看该页面的元素,修改 iframe 的 opacity 为 0.5 ,结果如下:

image

从上图可知,攻击者通过图片作为页面背景,隐藏了用户操作的真实界面,从而使用户在点击第三方网站的按钮时,实际上是触发了论坛系统的发表按钮。

四、防御

从上文介绍的内容可知,点击劫持攻击的前提是第三方网站使用 iframe 引入目标网站的页面,我们禁止目标网站被嵌套即可。

4.1 javascript 禁止内嵌

在目标网站页面添加如下代码:

<script>
    if (top.location != window.location) {
        top.location = window.location;
    }
</script>

当第三方页面引用目标网站后,会自动跳回到目标网站。

缺点:iframe 使用 sandbox="allow-forms" 时防御就失效。

4.2 X-FRAME-OPTIONS 禁止内嵌

X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame> 或者 <object> 中展现的标记。(推荐使用)

4.3 辅助手段

由于点击劫持只需要用户简单的点击按钮就触发事件,我们可以增加用户的操作成本,从而让用户有所警觉。如:设置验证码等。

五、参考资料

转载于:https://www.cnblogs.com/moonlightL/p/7676670.html

RabinRow
关注
深入理解点击劫持(Clickjacking)漏洞及其防御
TechEnthusiast的博客
08-29 483
点击劫持,也称为UI覆盖攻击或界面伪装攻击,是一种视觉欺骗类的网络攻击。攻击者通过在看似无害的网页上覆盖一个透明的层,诱导用户在不知情的情况下点击隐藏的、可能有害的元素。
Web安全】点击劫持漏洞
李同學的安全圈
11-25 1592
本篇文章主要介绍点击劫持漏洞原理、危害以及验证方式,切勿将文中攻击手法用于非授权下渗透攻击行为!!!点击劫持(Click Jacking),是一种视觉上的欺骗手段,也被称为UI-覆盖攻击。攻击者通过使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,通过调整iframe页面的位置,可以使得伪造的页面恰好和iframe里受害页面里的一些功能重合(点击按钮或活动选项),以达到窃取用户信息或者劫持用户操作的目的。
web前后端漏洞分析防御)-点击劫持,传输安全
空默寒的博客-学习和积累
07-29 940
点击劫持,clickjacking,也被称为UI-覆盖攻击。   防止点击劫持 JavaScript禁止内嵌 没有带frame的页面 带frame的页面   不过H5新增属性,sandbox可以金庸脚本的运行 sandbox="allow-forms" X-FRAME-OPTIONS禁止内嵌 头设置 ctx.set('X-F...
界面操作劫持攻击原理防御方法
weixin_34249367的博客
08-05 314
1. 攻击原理 界面劫持,分为点击劫持、拖放劫持、触屏劫持。就是我们的点击,拖放,触屏操作被劫持了,而去操作了其它的透明隐藏的界面。其原理是利用透明层+iframe,使用了css中的opacity和z-index等属性,来到达透明和位于其它界面的上方,然后使用iframe来嵌入劫持页面。到达了用户操作的不是它看到的,不是他以为的那个界面,而是那个透明的位于上层的界面。 2. 防御方法 有重要...
Javascript 实现前端防御 http劫持 及防御 XSS攻击,并且对可疑攻击进行上报
qq_36873261的博客
10-26 302
Usage: 引入 httphijack1.0.0.js 。 Features: 所有内联 on* 事件执行的代码 a标签 href 属性 javascript: 内嵌的代码 静态脚本、iframe 等恶意内容 动态添加的脚本文件、iframe 等恶意内容 document-write添加的内容 页面被 iframe 嵌套劫持 Tips: 建立自己的域名白名单、关键字黑名单、上报系统及接收后端。...
说说什么是点击劫持
读万卷书,行万里路
09-07 1339
点击劫持(ClickJacking)是一种视觉上的欺骗手段 。 攻击者使用一个透明的(即不可见的) iframe 页面,覆盖在一个正常网页上,然后诱使用户点击该网页,这时用户就会在不知情的情况下点击那个透明的 iframe 。 通过精心调整透明 iframe 的位置,就可以诱使用户恰好点击在所设计的恶意按钮上 。 请看下例: <!DOCTYPE html> <html> ...
腾讯大牛教你web前后端漏洞分析防御.txt
11-20
### 腾讯大牛教你Web前后端漏洞分析防御 在当今数字化时代,网络安全问题日益突出,尤其是针对Web应用的攻击愈发频繁。《腾讯大牛教你Web前后端漏洞分析防御》一书旨在帮助读者深入理解Web安全领域的基础知识、...
WEB应用程序点击劫持漏洞研究及防御方法
12-11
web程序劫持漏洞防御的方法。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
Web前后端漏洞分析防御-知识梳理.zip
最新发布
03-03
在网络安全领域,Web前后端漏洞分析防御是至关重要的主题。这个压缩包文件"Web前后端漏洞分析防御-知识梳理.zip"很可能包含了对Web应用安全的深入探讨,特别是针对开发人员避免常见错误和陷阱的指导。让我们逐一...
点击劫持技术原理简述
m0_38103658的博客
08-15 3177
界面劫持概念简述: 界面操作劫持攻击实际上是一种基于视觉欺骗的web会话劫持攻击,核心在于使用了标签中的透明属性,他通过在网页的可见输入控件上覆盖一个不可见的框,使得用户误以为在操作可见控件,而实际上用户的操作行为被其不可见的框所劫持,执行不可见框中的恶意代码,达到窃取信息,控制会话,植入木马等目的。 界面劫持发展过程: (点击劫持点击劫持又称UI-覆盖攻击,是2008年由互联网安全专家罗伯特·...
点击劫持:潜在有害的网页浏览器漏洞利用
phphot
11-20 1641
Clickjacking: Potentially harmful Web browser exploit点击劫持:潜在有害的网页浏览器漏洞利用 Author: Michael Kassner作者:Michael Kassner 翻译:endurer,2008-11-19 第一版 Category: General, security, News类别:常规,安全
http劫持什么意思、网站升级HTTPS彻底解决http劫持问题
chenchen199711的博客
12-25 1035
在用户的客户端其要访问的服务器经过网络协议协调后,二者之间建立了一条专用的数据通道,用户端程序在系统中开放指定网络端口用于接收数据报文,服务器端将全部数据按指定网络协议规则进行分解打包,形成连续数据报文。 用户端接收到全部报文后,按照协议标准来解包组合获得完整的网络数据。其中传输过程中的每一个数据包都有特定的标签,表示其来源、携带的数据属性以及要到何处,所有的数据包经过网络路径中ISP的路由器传输接力后,最终到达目的地,也就是客户端。 HTTP劫持是在使用者其目的网络服务所建立的专用数据通道中,监视特定
HTTP网络劫持的原理过程
weixin_41490593的博客
11-07 2816
网站HTTP被劫持怎么办?在上网的过程中,我们经常会遇到DNS或者http被劫持的情况。HTTP劫持对于运营商来说,再简单不过了,当然,HTTP劫持并不是运营商才能做的事,一些黑客、浏览器厂商、手机厂商都可以做到,显然这个锅不能让运营商一个人来背,那么HTTP被劫持怎么办,如何预防了,HTTP网络劫持的原理过程又是什么呢? 什么是HTTP劫持? 在用户的客户端其要访问的服务器经过网络协议协...
web安全————clickjacking(点击劫持
longger_lee
12-14 7571
点击劫持(clickjacking)       点击劫持最早是在08年由安全专家Reboot Hansen和Jeremiah Grossman发现,这种攻击方式影响了几乎所有的桌面平台。那么什么是点击劫持??点击劫持其实是一种视觉上的欺骗手段,攻击者将一个透明的、不可见的iframe覆盖在一个网页上,通过调整iframe页面位置,诱使用户在页面上进行操作,在不知情的情况下用户的点击恰好是点击在
Web安全之点击劫持(ClickJacking)
weixin_33871366的博客
03-06 1073
点击劫持(ClickJacking)是一种视觉上的欺骗手段。大概有两种方式,一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面;二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义; iframe覆盖 直接示例说明 1. 假如我们在百度有个贴吧,想偷偷让别人关注它。于是我们准备一个页面: &l...
点击劫持 小例
weixin_33859504的博客
10-16 485
点击劫持(UI-覆盖攻击/click jacking) 一个关于点击劫持的小示例,首相看下理论知识 项目思路 首先,制作一个功能页面,作为被iframe嵌套的功能页面;这个页面的功能就是模仿投票功能,点击按钮时,即可完成投票功能,控制台会同步打印出操作信息。 <!DOCTYPE html> <html lang="en"> <head> <meta ...
web安全之点击劫持(clickjacking)
热门推荐
infi
03-19 1万+
百度解释: 点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。 它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 这种攻击利用了HTML中标签的透明属性。 就像一张图片上
【前端安全】点击劫持
Daisy
04-07 1315
点击挟持: 顾名思义,跟点击有关,挟持,意味着违背用户意愿做一件事情。 点击挟持,通过用户点击完成了另一个操作,用户并不知情。 通过iframe <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content...
Web中间件漏洞分析防范指南
资源摘要信息:"Web中间件常见漏洞总结.pdf" Web中间件在现代网络应用中扮演着至关重要的角色,它是连接Web应用程序和后端服务的桥梁。中间件的种类繁多,包括但不限于Apache、Nginx、IIS、Tomcat等Web服务器,以及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值