|
|
|
联系客服020-83701501

浅谈clickjacking

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
浅谈clickjacking 昔日在刺牛的博客上看到两篇文章:《OWASP会议上的Clickjacking》 《Clickjacking太腼腆了》 文章中阐清楚明了clickjacking是咋回事。 1、显示为点击某个链接或button时,理论上是点击到其他中央去了(挟制链接) 2、不一定需要javascript,所以noscript也挡不住,可是假若有javascript会让事变更繁冗 3、进击是基于DHTML的 4、把持lynx涉猎器的话,不会受到影响(因为这玩意太约略了) 5、需要进击者一定水平上管教页面 6、假如禁用iframe的话,或许防止跨域的clickjacking 7、在一个flash游戏中点击的话(通常会有大量鼠标点击),效果会更好(估量adobe公司宁神的这个?) 这几篇日志也都有众多大牛反驳。俺看了一下,也有点各人想法,还望列位不要喷我,有甚么不合错误也或许指出来,一同探究。 咱们或许看到一些文章中在创立iframe的时候把持的代码是如下所示的: Default
1 <iframe id="test" src="/uploads/allimg/191107/100SR3K-0.jpg team.htm" scrolling="no" style="opacity: 0;position: 10;bottom: 10;" width="100px;"></iframe>

 

如图所示: 1.png 这是一个透明的框架。 在梦之光芒大牛的博客中无关于clickjacking料想的文章,对这个有阐明,这里我就不提了。 真实我这里主假设想到是把clickjacking用到挂马中来。 一些友人挂马习俗用框架挂马,把框架大小设置为0*0之类的,或许把持JS脚本来挂马,这里用clickjacking来挂马也是不错的。 比方一些友人偶然候上一些*网,发现真厌烦,有些*网偶然候独霸代码出现一些图片伴跟着鼠标。 真实咱们也或许独霸关系代码来让这个隐藏的框架跟随鼠标。如许用户在点击一个链接时候,clickjacking触发,用户会被带到指定的web。代码如下: Default
1 window.captureEvents(Event.MOUSEMOVE) window.onmousemove=

看了这篇文章还没有意识具体寄义的同学,或许参考:《点击挟制(ClickJacking)的小科普》

[via@法客-凯文]

数安新闻+更多

证书相关+更多