今天看到一個google的點擊劫持漏洞獲得7500美刀,連接如下
https://apapedulimu.click/clickjacking-on-google-myaccount-worth-7500/
點擊劫持漏洞,利用UI重疊,視覺上的欺騙的漏洞,用於釣魚。
瞭解點擊劫持可以參考freebuff這篇文章《淺析點擊劫持攻擊》
https://www.freebuf.com/articles/web/67843.html
測試點擊劫持的方法也很簡單,把頁面插入iframe標籤中,能成功顯示的就是劫持成功。
如:測試劫持頁面 http://127.0.0.1/cj/index.html
測試poc
<html><iframe src="http://127.0.0.1/cj/index.html"></iframe></html>
這時候訪問測試poc
出現這樣的結果,表示頁面被我們成功劫持了。
現在一般寫腳本自動化測試的時候會關注返回的響應頭是否有X-FRAME-OPTIONS,因爲這個是解決點擊劫持比較好的方法。不存在這個響應頭那就可能存在點擊劫持
http://127.0.0.1/cj/index.html 我們加上X-FRAME-OPTIONS試試看測試結果
這樣就劫持不到了。