Clickjacking
使用Trickest可以轻松构建和自动化工作流程,使用世界上最先进的社区工具。 立即获取访问权限:
什么是点击劫持
在点击劫持攻击中,用户被欺骗点击网页上的一个元素,该元素要么是不可见的,要么伪装成另一个元素。这种操纵可能会对用户造成意外后果,如下载恶意软件,重定向到恶意网页,提供凭据或敏感信息,转账,或在线购买产品。
预填表单技巧
有时可以在加载页面时使用GET参数填充表单字段的值。攻击者可能会滥用这种行为,填充表单的任意数据并发送点击劫持有效负载,以便用户按下提交按钮。
使用拖放填充表单
如果您需要用户填写表单,但又不想直接要求他输入某些特定信息(比如您知道的电子邮件或特定密码),您可以要求他拖放某些内容,这些内容将写入您控制的数据,就像在这个示例中一样。
基本有效载荷
多步骤有效载荷
拖放 + 点击攻击载荷
XSS + Clickjacking
如果您已经确定了一个需要用户点击某个元素来触发 XSS 攻击的情况,并且页面容易受到点击劫持攻击,您可以利用这一点来欺骗用户点击按钮/链接。 示例: 您发现账户私人详情中存在自身 XSS(只有您可以设置和读取的详情)。包含设置这些详情的表单的页面容易受到点击劫持攻击,您可以使用 GET 参数预填充表单。 __攻击者可以准备一个点击劫持攻击到该页面,预填充表单中的 XSS 负载,并欺骗用户提交表单。因此,当表单提交且值被修改时,用户将执行 XSS。
缓解点击劫持的策略
客户端防御
在客户端执行的脚本可以执行操作以防止点击劫持:
确保应用窗口是主要或顶级窗口。
使所有框架可见。
防止在不可见框架上点击。
检测并警告用户可能的点击劫持尝试。
然而,这些破坏框架的脚本可能会被规避:
浏览器的安全设置: 一些浏览器可能会基于其安全设置或缺乏 JavaScript 支持来阻止这些脚本。
HTML5 iframe
sandbox
属性: 攻击者可以通过设置sandbox
属性为allow-forms
或allow-scripts
值而不包括allow-top-navigation
来中和破坏框架脚本。这会阻止 iframe 验证是否为顶级窗口,例如,
服务器端防御
X-Frame-Options
X-Frame-Options
HTTP响应头 通知浏览器有关在 <frame>
或 <iframe>
中呈现页面的合法性,有助于防止点击劫持:
X-Frame-Options: deny
- 没有域可以嵌入内容。X-Frame-Options: sameorigin
- 只有当前站点可以嵌入内容。X-Frame-Options: allow-from https://trusted.com
- 只有指定的 'uri' 可以嵌入页面。请注意限制:如果浏览器不支持此指令,则可能无效。一些浏览器更喜欢CSP frame-ancestors指令。
内容安全策略(CSP)frame-ancestors指令
CSP中的frame-ancestors
指令 是防止点击劫持的建议方法:
frame-ancestors 'none'
- 类似于X-Frame-Options: deny
。frame-ancestors 'self'
- 类似于X-Frame-Options: sameorigin
。frame-ancestors trusted.com
- 类似于X-Frame-Options: allow-from
。
例如,以下CSP仅允许来自相同域的嵌入:
Content-Security-Policy: frame-ancestors 'self';
有关更多详细信息和复杂示例,请参阅frame-ancestors CSP文档和Mozilla的CSP frame-ancestors文档。
使用child-src
和frame-src
的内容安全策略(CSP)
child-src
和frame-src
的内容安全策略(CSP)内容安全策略(CSP) 是一项安全措施,通过指定浏览器应允许加载内容的来源,有助于防止点击劫持和其他代码注入攻击。
frame-src
指令
frame-src
指令定义帧的有效来源。
比
default-src
指令更具体。
这个策略允许来自相同源(self)和 https://trusted-website.com 的框架。
child-src
指令
child-src
指令在 CSP 2 级中引入,用于设置 Web Workers 和框架的有效来源。
作为 frame-src 和 worker-src 的后备。
这个策略允许来自相同源(self)和 https://trusted-website.com 的框架和 worker。
使用注意事项:
弃用: child-src 正在逐步被 frame-src 和 worker-src 取代。
回退行为: 如果 frame-src 不存在,则 frames 的回退选项是 child-src。如果两者都不存在,则使用 default-src。
严格的源定义: 在指令中只包含可信任的源,以防止被利用。
JavaScript 打破框架的脚本
尽管不是完全可靠,基于 JavaScript 的打破框架脚本可用于防止网页被嵌套。示例:
使用反CSRF令牌
令牌验证: 在Web应用程序中使用反CSRF令牌,以确保状态更改请求是由用户有意进行的,而不是通过Clickjacked页面。
参考资料
使用Trickest 可以轻松构建并通过世界上最先进的社区工具自动化工作流程。 立即获取访问权限:
最后更新于