什么是点击劫持

简介: 什么是点击劫持

点击劫持是什么:点击劫持(ClickJacking)是一种视觉上的欺骗手段 。 攻击者使用一个透明的(即不可见的) iframe 页面,覆盖在一个正常网页上,然后诱使用户点击该网页,这时用户就会在不知情的情况下点击那个透明的 iframe 。 通过精心调整透明 iframe 的位置,就可以诱使用户恰好点击在所设计的恶意按钮上 。


例如:


攻击者开发一个网站内容为两层


底层:某种让人想要有点击欲望的图或者布局,如一个红包上面一个跳动的“开”字。

上层:通过iframe嵌套某社交网站他的主页,并且设置透明度为完全透明,同时通过定位让iframe上的某些操作按钮(如“关注我”)与底层引导点击区域(如例子中的红包“开”字)重叠

这样用户在点击“开”字实际点击上层透明的“关注我”,在毫不知情的情况下完成关注某人的操作。当然这些前提同样是用户已登录并且未过期的前提下。


不同于CSRF伪造的请求,这些请求都是在iframe中自身的网站并且由用户“自愿”发起的。



辅助手段


在一些比较机密的操作时增加二次校验,如验证码、手机校验码、密码等。


相关文章
|
SQL 安全 数据库
网站被劫持 直接跳转到其他网站的解决办法
某一客户单位的网站首页被篡改,并收到网监的通知说是网站有漏洞,接到上级部门的信息安全整改通报,贵单位网站被植入木马文件,导致网站首页篡改跳转到caipiao网站,根据中华人民共和国计算机信息系统安全保护条例以及信息安全等级保护管理办法的规定,请贵单位尽快对网站漏洞进行修复,核实网站发生的实际安全问题,对发生的问题进行全面的整改与处理,避免网站事态扩大。
7993 0
|
4月前
|
编解码 前端开发 JavaScript
未登录也能知道你是谁?浏览器指纹了解一下!
未登录也能知道你是谁?浏览器指纹了解一下!
80 0
|
前端开发 JavaScript UED
【前端学习】—网站禁止右键、F12防复制、防查看源代码、防图片下载的方法
【前端学习】—网站禁止右键、F12防复制、防查看源代码、防图片下载的方法
|
存储 Web App开发 编解码
点击劫持漏洞的学习及利用之自己制作页面过程(二)
点击劫持漏洞的学习及利用之自己制作页面过程
307 1
|
Web App开发 安全 前端开发
点击劫持漏洞的学习及利用之自己制作页面过程(一)
点击劫持漏洞的学习及利用之自己制作页面过程
520 1
|
前端开发 JavaScript 数据安全/隐私保护
网页|含有密码强度的注册页面
网页|含有密码强度的注册页面
118 0
|
缓存 安全 网络协议
网站绑定证书的情况下是否可以避免流量劫持呢?
网站绑定证书的情况下是否可以避免流量劫持呢?
|
安全 搜索推荐
网站快照收录被黑客攻击劫持跳转
我们普通用户一般很难发现,今天有一个客户咨询我,说为什么他的一个网站的信息显示在一个菠菜网站上?我说这是人家利用了你的网站数据后被搜索引擎收录而留下的一个快照,快照是你的信息,打开却是违法信息,还有一种情况是快照是非法信息,而打开却是正常的网站信息,这种情况一般是网站被挂马或者域名遭到了劫持,在你 site搜索某个网站域名的时候,发现标题描述关键词全部被改掉了,点击以后会进入一个非法的网站页面,它替换掉了你被搜索引擎收录的快照信息并做了跳转,如果你自己在浏览器地址栏输入网址进去,并不会发现问题的所在,这种情况并不会直接破坏掉你网站的信息。
191 0
网站快照收录被黑客攻击劫持跳转
|
Web App开发 安全 索引
网站点击进去出现“该内容被禁止访问”的拦截处理
很多客户的网站被拦截并提示:“该内容被禁止访问”,大多数客户使用的都是阿里云的虚拟主机以及ECS服务器,最近发生这种问题的网站也越来越多,这几天刚解决完一个客户网站被阿里云:违规URL屏蔽访问处理通知并拦截,经过朋友介绍找到我们SINE安全公司。
5204 0