点击劫持（Iframe clickJack）练习

实验内容：

寻找一个合适的网站放入到iframe标签中。实验中测试了包括知网首页及登录界面、淘宝首页及登录界面，百度首页，微信下载界面。发现淘宝登录界面无法放入，会直接跳转到淘宝真实的登录界面，其他的都可以在iframe中使用。最后选择了微信的下载界面。

将opacity设置为0.5

写用于伪装的网页。使用一张简书的截图制作了一个简单的页面和一个汽车广告。将“关闭广告”的按钮覆盖在微信下载按钮的上方，当用户双击关闭广告时，会发现进入微信Mac版下载界面。

3.将opacity设置为0，此时微信下载界面不可见但仍可以点击。

点击劫持的利用：

（一）、结合 CSRF 漏洞

CSRF (Cross-Site Request Forgery CSRF)是指跨站点请求伪造漏洞，目前广泛使用的CSRF漏洞防御技术是 token 识别技术。token 是网站给每一次 HTTP 连接分配的随机数，用来标识不同的用户身份。对于网站开发人员，最方便实用的方法是将 token 存储在页面隐藏的表单中，最终跟随信息共同提交到服务器端。服务器检查该参数，判断用户身份的真实性。因此成功实施 CSRF 攻击的关键因素是正确获取 token 值，攻击者需要将载入目标网页 iframe 中 token 自动添加到 src 属性后面。使用HTTP “GET”方法的表单会自动完成上述步骤，实现攻击WEB应用程序。Twitter 蠕虫攻击就是利用点击劫持漏洞来实现CSRF攻击。

（二）、结合 XSS 漏洞

Clickjacking 和反射型 XSS (跨站点脚本漏洞) 结合，转变为存储型 XSS 漏洞。反射型 XSS 漏洞最重要的特征是难于利用。通过 Clickjacking 漏洞，反射型 XSS 可以转化为存储型 XSS 漏洞，只要用户点击触发此漏洞，就可以在用户浏览器上执行任意的JavaScript 代码，因此具有极大的危害性。

防护：

点击劫持漏洞防御措施可以从两个方面考虑：服务器端防御和客户端防御。服务器端防御主要涉及到用户身份验证，客户端防御主要涉及到浏览器的安全。

（一）、服务器端防御

服务器端防御点击劫持漏洞的思想是结合浏览器的安全机制进行防御，主要的防御方法介绍如下。
1、 X-FRAME-OPTIONS 机制
在微软发布新一代的浏览器Internet Explorer 8.0中首次提出全新的安全机制：X-FRAME-OPTIONS。该机制有两个选项：DENY 和 SAMEORIGIN。DENY表示任何网页都不能使用 iframe 载入该网页，SAMEORIGIN表示符合同源策略的网页可以使用 iframe载入该网页。如果浏览器使用了这个安全机制，在网站发现可疑行为时，会提示用户正在浏览的网页存在安全隐患，并建议用户在新窗口中打开。这样攻击者就无法通过 iframe 隐藏目标的网页。
2、使用 FrameBusting 代码
点击劫持攻击需要首先将目标网站载入到恶意网站中，使用 iframe 载入网页是最有效的方法。Web安全研究人员针对 iframe 特性提出 Frame Busting 代码，使用 JavaScript 脚本阻止恶意网站载入网页。如果检测到网页被非法网页载入，就执行自动跳转功能。Frame Busting代码是一种有效防御网站被攻击者恶意载入的方法，网站开发人员使用Frame Busting代码阻止页面被非法载入。但是，如果用户浏览器禁用JavaScript脚本，那么FrameBusting代码也无法正常运行。所以，该类代码只能提供部分保障功能。

（二）、客户端防御

由于点击劫持攻击的代码在客户端执行，因此客户端有很多机制可以防御此漏洞。
1、升级浏览器
最新版本的浏览器提供很多防御点击劫持漏洞的安全机制，对于普通的互联网用户，经常更新修复浏览器的安全漏洞，能够最有效的防止恶意攻击。
2、 NoScript 扩展
对于Firefox的用户，使用 NoScript 扩展能够在一定程度上检测和阻止点击劫持攻击。利用 NoScript 中 ClearClick 组件能够检测和警告潜在的点击劫持攻击，自动检测页面中可能不安全的页面。

参考文献：

[1]王剑,张玉清.点击劫持漏洞攻防技术研究[J].信息网络安全,2011(07):16-19.

[2]来源：简书作者：该帐号已被查封_才怪链接：https://www.jianshu.com/p/251704d8ff18