点击劫持漏洞浅谈-(视频)

点击劫持漏洞-UI覆盖

点击劫持.png

  • 简介:

点击劫持(ClickJacking)是一种视觉上的欺骗手段。
点击劫持也被称为 UI 覆盖攻击。它通过不可见框架底部的内容误导受害者点击,虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。

  • 原理:

这种攻击利用了HTML中<iframe>标签的透明属性
在 HTML 中,我们可以在 iframe 里面嵌套另一个网页。通过设置 iframe 的透明度,可以使 iframe 不可见,同时在其底部放一个很有诱惑力的图片,调整网页中 iframe 中网页提交按钮的位置,使其和图片里按钮的位置相同。如此,当用户点击图片中的按钮时,其实是点击了网页中的按钮。


  • 攻击方式:
  1. 攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面;
  2. 攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义;

  • 防御

点击劫持的根本就是目标网站被攻击者通过 iframe 内嵌在他的网页中,所以只要阻止我们的网站被 iframe 内嵌即可

JavaScript 禁止 iframe 内嵌
在 iframe 中,window 与 top 对象不相等。利用这一点,我们可以加上一个判断,如果两者不相等,则top.location = window.location。
但是 iframe 可以通过 sandbox 来禁用 JavaScript,所以这一种方式并不是很安全。

X-Frame-Options HTTP 响应头禁止 iframe 内嵌
使用 X-Frame-Options 有三个可选的值:
DENY:浏览器拒绝当前页面加载任何 iframe 页面
SAMEORIGIN:iframe 页面的地址只能为同源域名下的页面
ALLOW-FROM:origin 为允许 iframe 加载的页面地址
例:在 PHP 中设置 HTTP 响应头
header('X-Frame-Options: DENY');
X-Frame-Options 的兼容性非常好,基本上现在市面所有浏览器都支持。

点击劫持,png.PNG


  • 视频讲解:

点击劫持漏洞.mp4

Mucn

Mucn

不管,看了我的博客就得帮忙转载,快点转载一下哦!❤️✔️

留下你的评论

快留下你的小秘密吧