网页点击劫持科普

深碍√TFBOYSˉ_ 2022-06-12 02:59 277阅读 0赞

**点击劫持**,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年，是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。它是通过覆盖不可见的框架误导受害者点击。虽然受害者点击的是他所看到的网页，但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。这种攻击利用了HTML中 `<iframe>` 标签的透明属性。

**特征**  
1、点击劫持是一种恶意攻击技术，用于跟踪网络用户，获取其私密信息或者通过让用户点击看似正常的网页来远程控制其电脑。很多浏览器和操作平台都有这样的漏洞。  
2、点击劫持技术可以用嵌入代码或者文本的形式出现，在用户毫不知情的情况下完成攻击，比如点击一个表面显示是“播放”某个视频的按钮，而实际上完成的操作却是将用户的社交网站个人信息改为“公开”状态。  
3、点击劫持这个词首次出现在2008年，是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的，这个词其实是“点击”（click）和“劫持”（hijacking）两个词组合而成的。

**示例**  
在这个test.html中有一个button，如果iframe完全透明时，那么用户看到的是：  
![这里写图片描述][640_wx_fmt_jpeg_tp_webp_wxfrom_5_wx_lazy_1]

用户看到的按钮  
当iframe半透明时，可以看到，在button上面其实覆盖了另一个控件：  
![这里写图片描述][640_wx_fmt_jpeg_tp_webp_wxfrom_5_wx_lazy_1 1]

实际的页面，按钮上隐藏了一个iframe窗口  
覆盖的控件其实是一个实现**打开用户摄像头**的按钮：当用户试图点击test.html里的button时，实际上却会点击到页面中打开摄像头的按钮。这样，就完成了一次点击劫持的攻击。

欢迎关注本人公众号趣智能  
![这里写图片描述][SouthEast]

[640_wx_fmt_jpeg_tp_webp_wxfrom_5_wx_lazy_1]: /images/20220612/5df567d984b54c27a8f00e71b96c59f9.png
[640_wx_fmt_jpeg_tp_webp_wxfrom_5_wx_lazy_1 1]: /images/20220612/0244b0b7942a472cbae066e7c690ce04.png
[SouthEast]: /images/20220612/a9935b0f25584d3d872122439b9e73f9.png