web页面点击劫持

今天看到一个google的点击劫持漏洞获得7500美刀,连接如下

https://apapedulimu.click/clickjacking-on-google-myaccount-worth-7500/

 

点击劫持漏洞,利用UI重叠,视觉上的欺骗的漏洞,用于钓鱼。

了解点击劫持可以参考freebuff这篇文章《浅析点击劫持攻击》

https://www.freebuf.com/articles/web/67843.html

测试点击劫持的方法也很简单,把页面插入iframe标签中,能成功显示的就是劫持成功。

如:测试劫持页面  http://127.0.0.1/cj/index.html

测试poc

这时候访问测试poc

web页面点击劫持_第1张图片

出现这样的结果,表示页面被我们成功劫持了。

现在一般写脚本自动化测试的时候会关注返回的响应头是否有X-FRAME-OPTIONS,因为这个是解决点击劫持比较好的方法。不存在这个响应头那就可能存在点击劫持

http://127.0.0.1/cj/index.html  我们加上X-FRAME-OPTIONS试试看测试结果

web页面点击劫持_第2张图片

这样就劫持不到了。

你可能感兴趣的:(web安全)