黑客怎么能提供点击攻击呢?
发布于 2016-02-22 09:21:36
假设攻击者想让用户单击victim.com
上的某个内容。
为此,他们需要在某个地方--任何地方--放置一个iframe
,让受害者看到它。它放在哪里并不重要,也不重要它是如何放置在那里的。
这不是必需的,但理想情况下,攻击者也可以在这里运行JavaScript,因为它增加了成功利用的可能性,特别是通过多次单击攻击(可以“跟踪”鼠标指针,从而确保单击victim.com网站所需的位置)。
我可以这样想,攻击者可以将iframe传递给受害者:
good.com
的网站,他们知道受害者会访问。这可能以不同的方式发生;网站可能允许创建iframes,或者攻击者可能已经破坏了服务器。evil.com
,在其上放置ClickJacking有效负载,并通过发送链接让受害者访问该网站。victim.com
上放置一个iframe。如果是这样的话,问题可能会超出ClickJacking (至少是HTML,可能是XSS)。下面是一个非常简单的示例,说明ClickJacking有效负载的外观:
// placed anywhere, eg http://evil.com/clickjacking.html
<div style="position: absolute; left: 50px; top: 50px; pointer-events: none;">
Click Me!
</div>
<iframe style="opacity: 0;" height="500" width="600" scrolling="no" src="http://victim.com/vulnerable.html>
</iframe>
因此,攻击者不必更改victim.com
的HTML (无论是在源端还是客户端)。
https://security.stackexchange.com/questions/115353
复制相似问题