首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >问答首页 >如何“传递”一次点击攻击?

如何“传递”一次点击攻击?
EN

Security用户
提问于 2016-02-22 06:41:55
回答 1查看 1.4K关注 0票数 5

黑客怎么能提供点击攻击呢?

  • 黑客是否需要操纵"good.com“网站并更改其原始代码?
  • 黑客是否创建了一个"evil.com“网站,并在"good.com”网站上放置了一个带有恶意代码的透明层?
  • 黑客会改变客户端的代码吗?
EN

回答 1

Security用户

回答已采纳

发布于 2016-02-22 09:21:36

假设攻击者想让用户单击victim.com上的某个内容。

为此,他们需要在某个地方--任何地方--放置一个iframe,让受害者看到它。它放在哪里并不重要,也不重要它是如何放置在那里的。

这不是必需的,但理想情况下,攻击者也可以在这里运行JavaScript,因为它增加了成功利用的可能性,特别是通过多次单击攻击(可以“跟踪”鼠标指针,从而确保单击victim.com网站所需的位置)。

我可以这样想,攻击者可以将iframe传递给受害者:

  • 攻击者劫持了一个名为good.com的网站,他们知道受害者会访问。这可能以不同的方式发生;网站可能允许创建iframes,或者攻击者可能已经破坏了服务器。
  • 攻击者创建自己的网站evil.com,在其上放置ClickJacking有效负载,并通过发送链接让受害者访问该网站。
  • 电子邮件:一些电子邮件客户端可能会显示( HTML代码的子集)(这实际上只是第一点的一个子类别)
  • 攻击者可以在victim.com上放置一个iframe。如果是这样的话,问题可能会超出ClickJacking (至少是HTML,可能是XSS)。
  • 攻击者可以更改传递的HTML in transfer (mitm)或客户端的HTML,从而注入iframe。但是,如果这是可能的话,还有比ClickJacking更大的后果。

下面是一个非常简单的示例,说明ClickJacking有效负载的外观:

代码语言:javascript
运行
复制
// placed anywhere, eg http://evil.com/clickjacking.html
<div style="position: absolute; left: 50px; top: 50px; pointer-events: none;">
    Click Me!
</div>
<iframe style="opacity: 0;" height="500" width="600" scrolling="no" src="http://victim.com/vulnerable.html>
</iframe>

因此,攻击者不必更改victim.com的HTML (无论是在源端还是客户端)。

票数 6
EN
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://security.stackexchange.com/questions/115353

复制
相关文章

相似问题

领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档