1.前言

点击劫持就是一种视觉上的欺骗手段,攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户在不知情的情况下点击了透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上,攻击者常常配合社工手段完成攻击。(一般能被劫持就是网站缺少X-FRAME-OPTIONS)

点击劫持一般在渗透测试中比较常见

2.过程

如何测试,有两种方法,今天就讲一种最简单常用的方式(burpsuite模块)

在这里就用测过的一个站点做例子吧

1)这是一个正常的站点
Test
2)我们需要打开burpsuite,选择burp模块,再去选择一个点击劫持模块
Test
Test
3)复制payload,然后打开刚才的站点,选择开发者模式,把复制的payload粘贴到console模块
Test
Test

3.修复建议

X-FRAME-OPTIONS是目前最可靠的方法。X-FRAME-OPTIONS是微软提出的一个http头,专门用来防御利用iframe嵌套的点击劫持攻击。并且在IE8、Firefox3.6、Chrome4以上的版本均能很好的支持。
这个头有三个值:
DENY:拒绝任何域加载
SAMEORIGIN:允许同源域下加载
ALLOW-FROM:可以定义允许frame加载的页面地址

END
本文作者: 文章标题:点击劫持漏洞
 本文地址:https://www.gxsnote.cn/556.html
 版权说明:若无注明,本文皆高先生笔记-满眼皆你.原创,转载请保留文章出处。
最后修改:2023 年 02 月 21 日
© 允许规范转载
如果觉得我的文章对你有用,请随意赞赏