【网络安全 | 漏洞挖掘】价值14981$的Google点击劫持漏洞

未经许可,不得转载。

文章目录

    • 点击劫持
    • 前言
    • 漏洞1
      • 攻击场景
    • 漏洞2
      • 攻击场景
    • 漏洞3
      • 攻击场景
    • 漏洞4
      • 攻击场景
    • 漏洞5
      • 攻击场景
    • 漏洞6
      • 攻击场景

点击劫持

点击劫持是一种恶意的用户界面攻击技术,也被称为 “UI 覆盖攻击” 或 “透明劫持”。

攻击者通过创建一个看似正常的网页,并在其中嵌入一个隐藏的、透明的 iframe 框架,该框架指向目标网站的某个功能页面,如支付页面、订阅页面等。同时,攻击者会在 iframe 上方放置一些虚假的按钮或链接,诱导用户点击。当用户点击这些虚假元素时,实际上是在不知情的情况下点击了下方 iframe 中的真实按钮或链接,从而执行了攻击者期望的操作,如进行支付、订阅服务、修改账户信息等。

前言

相比于跨站脚本(XSS)、远程代码执行(RCE)、SQL 注入(SQLi)等漏洞,我决定在 Google 和 Facebook 中寻找点击劫持(Clickjacking)漏洞。点击劫持通常是漏洞赏金计划中报酬最低的漏洞之一,很多企业甚至将其排除在漏洞范围之外,并低估了其危害。

漏洞1

1、存在一个网址: https://play.google.com/store/epurchase?dp=null&hl=en&docId&

你可能感兴趣的:(web安全,漏洞挖掘)