浅析点击劫持攻击(转载)
转载地址:http://www.freebuf.com/articles/web/67843.html
主要是想做下资料记录,其实看过后就知道原理很简单,先感谢下原作者,如果有侵权等行为,请告知,我会立即删除
点击劫持(click jacking)估计搞安全的都对这四个字不陌生,一句话描述这种劫持:利用社工搭配目标站的不安全配置对用户造成危害。这种漏洞目前在国内一直不被重视,但前一阵子Facebook和YouTube纷纷爆出点击劫持导致大问题的漏洞,国外才开始关注此问题,但国内依然不理不睬,看起来很容易的漏洞,但真的可以造成很大的危害,此文目的既在此。
01 聊聊点击劫持
看到上图的你们,是不是都会去选择点击脱衣呢?两年前的我也会这样做,反正不点白不点,点开说不定有DUANG!
但实则不然,这张图后面大到有可能iframe了一个银行转账页面,小则可能是莫名其妙发出了不该发的消息,粉了不认识的人,或是一个广告。
这就是点击劫持,但今天肯定不是单纯介绍点击劫持是什么鬼,各位继续看。
02 实战
点击劫持是挖掘起来门道相对较少的,但不是最少的,因为越权表示不服。
当然肯定要懂一些html和css的前端技巧,这些参考w3school即可。
首先我们要创建一个poc页面,理论上所有点击劫持的Poc都大同小异,我就把我上面辣个点击脱衣的POC发出来吧,实际上那是优酷频道刷粉的POC。
http-equiv="Content-Type" content="text/html; charset=utf-8">
</span><span class="pln" style="color:rgb(72,72,76);">点击劫持 POC</span><span class="tag">
点击脱衣
src="http://b.hiphotos.baidu.com/image/pic/item/3ac79f3df8dcd1001341dbcd768b4710b8122f78.jpg">
src="http://i.youku.com/u/UMjA0NTg4Njcy" scrolling="no">
实际上我们普通的点击劫持挖掘过程中真正只有两个部分最主要,按钮(button)&页面(iframe)。
思路即为,找到有用的地方,查到坐标,放置按钮,放置诱惑信息,OK!
1、有用的地方即为想让用户点击的地方,比如转账按钮,删除某博文的按钮,赞按钮等。
2、坐标即为有用的按钮在页面中的位置,这个找起来可能比较麻烦,懂html以及css的则可以直接从目标站源码中找到坐标,不懂的这有两种好方法。win家族系统可以下载屏幕格尺工具量坐标。本人OSX,可以像我一样用便签mark一下目标,然后把iframe隐藏调节button到和便签一致的位置,也很简单。
3、找到坐标写到html里放置按钮。
4、诱惑信息自行想。
这样就构成了,是不是很简单?
当然 有些时候会有两个按钮或多个按钮,就需要自行搭配页面内容诱惑人们一个一个去点击。
附另外一实例:腾讯微博刷粉
http-equiv="Content-Type" content="text/html; charset=utf-8">
</span><span class="pln" style="color:rgb(72,72,76);">点击劫持 POC</span><span class="tag">
点击脱衣
src="http://b.hiphotos.baidu.com/image/pic/item/3ac79f3df8dcd1001341dbcd768b4710b8122f78.jpg"> src="http://search.t.qq.com/user.php?pos=436&k=东北保钓" scrolling="no">
03 进阶
点击劫持常见防御方法的绕过:
JS防御
如if (top.location != self.location) {top.location=self.location;}