当前位置:   article > 正文

什么是点击劫持

点击劫持

点击劫持是什么:点击劫持(ClickJacking)是一种视觉上的欺骗手段 。 攻击者使用一个透明的(即不可见的) iframe 页面,覆盖在一个正常网页上,然后诱使用户点击该网页,这时用户就会在不知情的情况下点击那个透明的 iframe 。 通过精心调整透明 iframe 的位置,就可以诱使用户恰好点击在所设计的恶意按钮上 。

例如:

攻击者开发一个网站内容为两层

底层:某种让人想要有点击欲望的图或者布局,如一个红包上面一个跳动的“开”字。
上层:通过iframe嵌套某社交网站他的主页,并且设置透明度为完全透明,同时通过定位让iframe上的某些操作按钮(如“关注我”)与底层引导点击区域(如例子中的红包“开”字)重叠
这样用户在点击“开”字实际点击上层透明的“关注我”,在毫不知情的情况下完成关注某人的操作。当然这些前提同样是用户已登录并且未过期的前提下。

不同于CSRF伪造的请求,这些请求都是在iframe中自身的网站并且由用户“自愿”发起的。

 

辅助手段

在一些比较机密的操作时增加二次校验,如验证码、手机校验码、密码等。

 

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/IT小白/article/detail/560427
推荐阅读
相关标签
  

闽ICP备14008679号