2. 程式人生 > >點選劫持 小例

點選劫持 小例

阿新 發佈:2018-11-10

點選劫持(UI-覆蓋攻擊/click jacking)

一個關於點選劫持的小示例,首相看下理論知識

專案思路

首先,製作一個功能頁面,作為被iframe巢狀的功能頁面;這個頁面的功能就是模仿投票功能,點選按鈕時,即可完成投票功能,控制檯會同步打印出操作資訊。

<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <meta name="viewport" content="width=device-width, initial-scale=1.0"
 
>
  <meta http-equiv="X-UA-Compatible" content="ie=edge">
  <title>Document</title>
  <style>
    .vote{
      width: 183px;
      margin: 0 auto;
      margin-top: 220px
    }
  </style>
</head>
<body>
  <div class="vote">
    <input type="text" value
 
="5號選手">
    <button>投票</button>
  </div>

  <script>
    var span = document.getElementsByTagName('button')[0]
    span.addEventListener('click', function(){
      console.log('哈哈,謝謝你偷偷幫我投票~')
    })
  </script>
</body>
</html>
複製程式碼

製作一個只有圖片的頁面,用於迷惑使用者進行互動;

<!DOCTYPE html>
<html lang="en">

<head>
  <meta charset="UTF-8">
  <meta name="viewport" content="width=device-width, initial-scale=1.0">
  <meta http-equiv="X-UA-Compatible" content="ie=edge">
  <title>click jacking demo</title>
  <style>
    body {
      padding: 0;
      margin: 0
    }
    .png {
      height: 100%;
      width: 100%;
    }
    .iframe {
      width: 1440px;
      height: 900px;
      position: absolute;
      top: -0px;
      left: -0px;
      z-index: 3;
      -moz-opacity: 0;
      opacity: 0;
      filter: alpha(opacity=0);
    }
    .btn {
      display: inline-block;
      padding: 2px 3px;
      background: burlywood;
      color: #fff;
      position: absolute;
      top: 221px;
      left: 766px;
      z-index: 2;
      cursor: pointer;
      border-radius: 30%
    }
  </style>
</head>
<body>
  <img class='png' src="./image/clickme.jpeg" alt="">
  <iframe class="iframe" src="./iframe.html" scolling='no' allowTransparency="true"></iframe>
  <span class="btn">click</span>
</body>
</html>
複製程式碼

瀏覽器開啟,會發現根據提示點選按鈕,會在控制檯中列印了相關的資訊,就是說,即使我沒有在功能頁面進行投票操作,可是能投票。

在迷惑頁面中把 iframeopacity 屬性值修改成 0.3,就能看到這個迷惑的原因了。

其他

本來想做個壞事的,想要試試用於豆瓣上,直接定位到關注按鈕那,不過 iframe 豆瓣的頁面時,控制檯報錯了,這個想要說明的是使用設定X-frame-options屬性是真有效的。

也試過直接內嵌 github 的地址,也會報錯,這個錯是報跨域的錯,不過具體的還不知道是怎麼設定防禦的。

an ancestor violates the following Content Security Policy directive: “frame-ancestors ...
複製程式碼

至此,已經把 點選劫持 的形式演示完畢

github原始碼

相關推薦

劫持

點選劫持(UI-覆蓋攻擊/click jacking) 一個關於點選劫持的小示例,首相看下理論知識 專案思路 首先,製作一個功能頁面,作為被iframe巢狀的功能頁面;這個頁面的功能就是模仿投票功能,點選按鈕時,即可完成投票功能,控制檯會同步打印出操作資訊。 <!DOCTYPE

劫持(ClickJacking)

點選劫持 什麼是點選劫持? 利用方法 進階(本質上還是UI覆蓋攻擊,只是實現手段不一樣) 防禦 什麼是點選劫持? 點選劫持(ClickJacking),又稱“UI-覆蓋攻擊”,通過覆蓋不可見的框架誤導受害者進行點選而造成的攻擊

web安全(3)-- ClickJacking(劫持

“Clickjacking(點選劫持)是由網際網路安全專家羅伯特·漢森和耶利米·格勞斯曼在2008年提出的。是一種視覺欺騙手段,在web端就是iframe巢狀一個透明不可見的頁面,讓使用者在不知情的情況下,點選攻擊者想要欺騙使用者點選的位置。” 假設你訪問一個web站點並看到如下的頁面:

BTS測試實驗室 --- 檔案包含、SSRF、劫持、無限制檔案上傳

0X00 檔案包含 1. 什麼是“檔案包含”? 在通過伺服器指令碼的函式引入檔案時,由於傳入的檔名沒有經過合理的校驗,從而操作了預想之外的檔案,導致意外的檔案洩露、惡意程式碼的注入等。 檔案包含分為本地檔案包含和遠端檔案包含。 2. 本地檔案包含利用方式 bts

劫持防禦方案

lemon.i還會使用到lemon.v來實現一些功能,如何在主流瀏覽器(Firefox、Chrome、Ie、Safari)上達到防禦效果? <!DOCTYPE html> <html lang="en"> <head> <title>Clickjack

js,jq開啟彈窗,當前頁面彈出視窗

function openWin(url) { var u = url; window.open(u, 'newwindow', 'height=600, width=800, top=30%,

Web伺服器劫持(ClickJacking)的安全防範

一.介紹 ClickJacking即點選劫持,是一種將惡意程式碼經過處理使其變成透明、不可見的iframe,並將其覆蓋在一個網頁上,然後誘使使用者在該網頁上進行點選操作。通過改變iframe的在頁面的位置,可以誘使使用者正好點選我們設定好的透明iframe。 二.防禦 1.

X-Frame-Options 響應頭避免劫持

配置 Apache配置 Apache 在所有頁面上傳送 X-Frame-Options 響應頭,需要把下面這行新增到 ‘site' 的配置中: Header always append X-Frame-Options SAMEORIGIN?新增後重啟apache

WEB安全基礎-劫持漏洞基礎

點選劫持漏洞 點選劫持:一個其他的網站,用iframe標籤,<iframe src=”http://xxx.xxx.xxx”></ifame> <style> Ht

關於X-Frame-Options 響應頭配置避免劫持攻擊的問題整理

2018.05.07 客戶反映學校網站被掃描到X-Frame-Options Header未配置漏洞經查詢得到的解決方案一:配置 Apache配置 Apache 的httpd.conf 在所有頁面上傳送 X-Frame-Options 響應頭,需要把下面這行新增到配置中:H

X-Frame-Options 響應頭配置避免劫持攻擊

X-Frame-Options HTTP 響應頭是用來給瀏覽器指示允許一個頁面可否在 <frame>, <iframe> 或者 <object>中展現的標記。網站可以使用此功能,來確保自己網站的內容沒有被嵌到別人的網站中去,也從而避免了點選劫持 (clickjacki

web安全:防範劫持的兩種方式

防範點選劫持的兩種方式 什麼點選劫持?最常見的是惡意網站使用 <iframe> 標籤把我方的一些含有重要資訊類如交易的網頁嵌入進去,然後把 iframe 設定透明,用定位的手段的把一些引誘使用者在惡意網頁上點選。這樣使用者不知不覺中就進行了某些不安全的操作。 有兩

web安全之劫持(clickjacking)

百度解釋: 點選劫持,clickjacking,也被稱為UI-覆蓋攻擊。這個詞首次出現在2008年,是由網際網路安全專家羅伯特·漢森和耶利米·格勞斯曼首創的。 它是通過覆蓋不可見的框架誤導受害者點選。 雖然受害者點選的是他所看到的網頁,但其實他所點選的是被黑客精心構

android 實現edittext輸入內容後可以右側圖片進行清除內容

在實際的開發過程中,我們會遇到輸入密碼輸入搜尋漢字這樣的需求,然後當我們輸入了字元之後,又不想一下一下的後退刪掉,這時候就需要我們的旁邊的小按鈕來實現了 我們要實現的效果是這個樣子的. 點選小X號就可以把我們的edittext的內容清空,本來想應該是一個editext然後

(zepto外掛使用)click、tap無效又能實現事件竅門

/******如有雷同   純屬巧合 ********/ 我們就touch的幾種簡單事件進行解析 touchstart事件:當手指觸控式螢幕幕時候觸發,即使已經有一個手指放在螢幕上也會觸發。 touchmove事件:當手指在螢幕上滑動的時候連續地觸發。在這個事件發生期

網頁劫持科普

點選劫持,clickjacking,也被稱為UI-覆蓋攻擊。這個詞首次出現在2008年,是由網際網路安全專家羅伯特·漢森和耶利米·格勞斯曼首創的。它是通過覆蓋不可見的框架誤導受害者點選。雖然受害者點選的

基於iframe的CFS(Cross Frame Script)和Clickjacking(劫持)攻擊

防止被 FRAME 載入你的網站頁面1. meta 標籤:很多時候沒有效果,無視<meta http-equiv="Windows-Target" contect="_top">2. js 判斷頂層視窗跳轉,可輕易破解,意義不大function locationTop(){ if (top

Tomcat 劫持漏洞修改

修改 tomcat 的點選劫持漏洞 一、修改 tomcat 的 web.xml 配置檔案 修改web伺服器配置,新增X-Frame-Options響應頭。賦值有如下三種: 1、DENY:不能被嵌入

惡意程式利用Android漏洞劫持

作者:趨勢科技 通過社會工程學陷阱技巧,開發者可以建立一個應用程式用來誘騙使用者點選特製的應用程式彈出視窗,讓它成為多種威脅的入口,這種攻擊被稱為點選劫持(Tapjacking),利用了Androi

JS 事件onclick:物件區域顏色,大區域顏色改變

<!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <