點擊劫持漏洞

原創

2019-02-22 18:01

0x01:什麼是點擊劫持

點擊劫持是一種視覺上的欺騙手段，×××者使用一個透明的、不可見的iframe，覆蓋在一個網頁上，然後誘使用戶在該網頁上進行操作，此時用戶在不知情的情況下點擊了透明的iframe頁面。通過調整iframe頁面的位置，可以誘使用戶恰好點擊在iframe頁面的一些功能性按鈕上，×××者常常配合社工手段完成×××。

0x02 漏洞危害

×××者精心構建的另一個置於原網頁上面的透明頁面。其他訪客在用戶毫不知情的情況下點擊×××者的頁面從而完成×××。具體危害取決Web應用。

0x03 POC代碼

受害者點擊“脫掉衣服“按鈕，iframe會立即加載，請求www.baidu.com頁面

<html>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8"> 
<head> 
<title>點劫持POC</title>
<style> 
iframe { width: 1440px; height: 900px; position: absolute; top: -0px; left: -0px; z-index: 2; -moz-opacity: 0; opacity: 0; filter: alpha(opacity=0); } 
button { position: absolute; top: 250px; left: 770px; z-index: 1; width: 80px; height:20px; }
</style>
</head>
<body>
<button>脫掉衣服</button> 
<img src="http://b.hiphotos.baidu.com/image/pic/item/3ac79f3df8dcd1001341dbcd768b4710b8122f78.jpg">

<iframe src="http://wwwbaidu.com" scrolling="no"></iframe>
</body> 
</html>

0x04 修復方案

X-FRAME-OPTIONS是目前最可靠的方法。X-FRAME-OPTIONS是微軟提出的一個http頭，專門用來防禦利用iframe嵌套的點擊劫持×××。並且在IE8、Firefox3.6、Chrome4以上的版本均能很好的支持。

這個頭有三個值：

DENY // 拒絕任何域加載
SAMEORIGIN / / 允許同源域下加載
ALLOW-FROM // 可以定義允許frame加載的頁面地址
PHP代碼:

header('X-Frame-Options:Deny');

header('X-Frame-Options:SAMEORIGIN);

配置 Apache

配置 Apache 在所有頁面上發送 X-Frame-Options 響應頭，需要把下面這行添加到 'site' 的配置中:
Header always append X-Frame-Options SAMEORIGIN
配置 nginx

配置 nginx 發送 X-Frame-Options 響應頭，把下面這行添加到 'http', 'server' 或者 'location' 的配置中:
add_header X-Frame-Options SAMEORIGIN;
配置 IIS

配置 IIS 發送 X-Frame-Options 響應頭，添加下面的配置到 Web.config 文件中:
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="SAMEORIGIN" />
</customHeaders>
</httpProtocol>
</system.webServer>

參考鏈接：

http://www.freebuf.com/articles/web/67843.html

http://www.cnblogs.com/lianzhilei/p/6429514.html

https://www.cnblogs.com/seeker01/p/7291585.html

發表評論

所有評論

還沒有人評論，想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.

點擊劫持漏洞

再談23種設計模式（3）：行爲型模式（學習筆記）

Power Automate Desktop 安裝完，登錄後老是提示one driver 錯誤

微前端學習筆記(4):從微前端到微模塊之EMP與hel-micro方案探索

微前端學習筆記（1）：微前端總體架構概述，從微服務發微

985 碩士程序員，空窗 4 個月沒有 Offer！

一文搞懂 Spring 循環依賴

賽博鬥地主——使用大語言模型扮演Agent智能體玩牌類遊戲。

VScode右鍵打開(添加到右鍵)

記一次 .NET某工控視覺自動化系統卡死分析

WindowsServer--SQL Server搭建主從同步實現讀寫分離 - 事務性分發

Linux下maldet查惡意軟件

CD光盤中的cda文件翻錄方法

讀《重燃你的php之火》總結筆記

WIN下使用OWASP ZAP筆記

代碼審計之 appcms ***F 繞過漏洞

Mac下配置sublime實現LaTeX

https://yachay.unat.edu.pe/blog/index.php?comment_area=format_blog&comment_component=blog&comment_co

linux以太網驅動總結