什么是点击劫持

简介: 什么是点击劫持

点击劫持是什么:点击劫持(ClickJacking)是一种视觉上的欺骗手段 。 攻击者使用一个透明的(即不可见的) iframe 页面,覆盖在一个正常网页上,然后诱使用户点击该网页,这时用户就会在不知情的情况下点击那个透明的 iframe 。 通过精心调整透明 iframe 的位置,就可以诱使用户恰好点击在所设计的恶意按钮上 。


例如:


攻击者开发一个网站内容为两层


底层:某种让人想要有点击欲望的图或者布局,如一个红包上面一个跳动的“开”字。

上层:通过iframe嵌套某社交网站他的主页,并且设置透明度为完全透明,同时通过定位让iframe上的某些操作按钮(如“关注我”)与底层引导点击区域(如例子中的红包“开”字)重叠

这样用户在点击“开”字实际点击上层透明的“关注我”,在毫不知情的情况下完成关注某人的操作。当然这些前提同样是用户已登录并且未过期的前提下。


不同于CSRF伪造的请求,这些请求都是在iframe中自身的网站并且由用户“自愿”发起的。



辅助手段


在一些比较机密的操作时增加二次校验,如验证码、手机校验码、密码等。


相关文章
|
SQL 安全 数据库
网站被劫持 直接跳转到其他网站的解决办法
某一客户单位的网站首页被篡改,并收到网监的通知说是网站有漏洞,接到上级部门的信息安全整改通报,贵单位网站被植入木马文件,导致网站首页篡改跳转到caipiao网站,根据中华人民共和国计算机信息系统安全保护条例以及信息安全等级保护管理办法的规定,请贵单位尽快对网站漏洞进行修复,核实网站发生的实际安全问题,对发生的问题进行全面的整改与处理,避免网站事态扩大。
7967 0
|
11月前
|
前端开发 JavaScript UED
【前端学习】—网站禁止右键、F12防复制、防查看源代码、防图片下载的方法
【前端学习】—网站禁止右键、F12防复制、防查看源代码、防图片下载的方法
|
存储 Web App开发 编解码
点击劫持漏洞的学习及利用之自己制作页面过程(二)
点击劫持漏洞的学习及利用之自己制作页面过程
298 1
|
Web App开发 安全 前端开发
点击劫持漏洞的学习及利用之自己制作页面过程(一)
点击劫持漏洞的学习及利用之自己制作页面过程
495 1
关于 谷歌浏览器主页被劫持的 解决方法
关于 谷歌浏览器主页被劫持的 解决方法
关于 谷歌浏览器主页被劫持的 解决方法
|
缓存 安全 网络协议
网站绑定证书的情况下是否可以避免流量劫持呢?
网站绑定证书的情况下是否可以避免流量劫持呢?
|
小程序 C++
【C/C++教学】劫持?劫持?劫持?!!!(二)
【C/C++教学】劫持?劫持?劫持?!!!
204 0
【C/C++教学】劫持?劫持?劫持?!!!(二)
|
SQL API C++
【C/C++教学】劫持?劫持?劫持?!!!(一)
【C/C++教学】劫持?劫持?劫持?!!!
228 0
【C/C++教学】劫持?劫持?劫持?!!!(一)
|
安全 搜索推荐 JavaScript
怎么解决网站被黑客劫持收录跳转的问题
网站被黑的情况的话,最常见的就是网站被挂马以及ddos攻击,这两种情况最为常见,网站被黑挂马的话,在中小型企业里面较为常见的就是劫持快照以及 js跳转,如果黑客劫持网站快照的话,他们就是利用网站的漏洞进行篡改网站的TDK,也就是在我们平常维护网站的时候我们在搜索关键词,看到的网站标题以及描述的话是带有联系方式那种与网站内容根本不相关的违规灰色行业标题。
401 0
|
安全 搜索推荐
网站快照收录被黑客攻击劫持跳转
我们普通用户一般很难发现,今天有一个客户咨询我,说为什么他的一个网站的信息显示在一个菠菜网站上?我说这是人家利用了你的网站数据后被搜索引擎收录而留下的一个快照,快照是你的信息,打开却是违法信息,还有一种情况是快照是非法信息,而打开却是正常的网站信息,这种情况一般是网站被挂马或者域名遭到了劫持,在你 site搜索某个网站域名的时候,发现标题描述关键词全部被改掉了,点击以后会进入一个非法的网站页面,它替换掉了你被搜索引擎收录的快照信息并做了跳转,如果你自己在浏览器地址栏输入网址进去,并不会发现问题的所在,这种情况并不会直接破坏掉你网站的信息。
186 0
网站快照收录被黑客攻击劫持跳转