Web 安全学习笔记四 常见 Web 漏洞(点击劫持)

作者 Marlous 日期 2019-05-29
Web 安全学习笔记四 常见 Web 漏洞(点击劫持)

一 点击劫持概念

  • 点击劫持:click jacking,也被称为 UI 覆盖攻击。

  • 它是通过覆盖不可见的框架误导受害者点击。/ 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。/ 这种攻击利用了 HTML 中 <iframe> 标签的透明属性。

  • 基本原理:
    将恶意页面(网站)放在 <iframe> 标签中,设置透明度等信息。将恶意页面按钮隐藏在诱骗用户点击的按钮下面(重叠),诱骗用户点击的正常按钮通过 z-index 属性 “悬浮” 在 iframe 恶意页面按钮上面。/ 攻击者使用一个或多个透明的 iframe 覆盖在一个正常的网页,然后诱使用户在该网页上进行操作,当用户在不知情的情况下点击透明的 iframe 页面时,用户的操作已经被劫持到攻击者事先设计好的恶意按钮或链接上。

  • 特点:
    隐蔽性高。

二 资料阅读

三 漏洞原理与利用

四 基础实战

五 我的笔记思考总结等