浅析点击劫持（click jacking）

责编：admin ｜2015-05-27 09:43:22

点击劫持（Clickjacking）是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼在2008年首创的。一句话描述这种劫持：利用社工搭配目标站的不安全配置对用户造成危害。简单来说：当你打开一个网页出现一个flash广告框，点击“关闭”按钮，可结果广告并没有关闭，却变成了全屏，这样的情况在计算机安全领域叫做点击劫持。

01 什么是点击劫持

看到上图是不是都会去选择点击脱衣呢？以前我也会这样做，点开说不定有惊喜!实则不然，这张图大到有可能iframe了一个银行转账页面，小则可能是莫名其妙发出了不该发的消息，粉了不认识的人，或是一个广告。

这就是点击劫持，但本文不是单纯介绍点击劫持是什么。

02 点击劫持实战

需要懂一些html和css的前端技巧，参考w3school即可。

首先创建一个poc页面，理论上所有点击劫持的Poc都大同小异。

实例：新浪微博刷粉

<!DOCTYPE html>

<html>

<head>

<title>clickjacking</title>

button { position: absolute; top: 250px; left: 770px; z-index: 1; width: 80px; height:20px; }

</style>

</head>

<body>

</body>

</html>

普通的点击劫持真正只有两个部分最主要，按钮（button）&页面(iframe)。

思路即为，找到有用的地方，查到坐标，放置按钮，放置诱惑信息，OK！

1、有用的地方即为想让用户点击的地方，比如转账按钮，删除某博文的按钮，赞按钮等。

2、坐标即为有用的按钮在页面中的位置，这个找起来可能比较麻烦，懂html以及css的则可以直接从目标站源码中找到坐标，不懂的这有两种好方法。win家族系统可以下载屏幕格尺工具量坐标。本人OSX，可以像我一样用便签mark一下目标，然后把iframe隐藏调节button到和便签一致的位置，也很简单。

3、找到坐标写到html里放置按钮。

4、诱惑信息自行想。

这样就构成了，是不是很简单？

当然有些时候会有两个按钮或多个按钮，就需要自行搭配页面内容诱惑人们一个一个去点击。

03 进阶

点击劫持常见防御方法的绕过：

JS防御

如if (top.location != self.location) {top.location=self.location;}

security=”restricted” 为IE的禁止JS

sandbox=”” 为HTML5的禁止JS

这样就达到了bypass的效果，但有时候我们想劫持的按钮也是js的那样就比较蛋疼了，但可以参考下面的方法。

其他方法跳转进行防御

只要是强制跳转到目标站的防御方法，都可以用此方法绕过。

制作双重iframe，即最底层为目标站，二层为透明，这样还是能达到我们想要的效果。

让点击劫持更猥琐的搭配:

搭配输入框

以前曾发现加拿大某银行可以进行点击劫持，但需要用户输入转账的银行卡号和银行，那么我们就可以放几个框，并诱惑用户在框里输入我的银行卡号和银行，这样用户看起来输入到我们的框里，实际上输入到了银行转账的页面当中。

当然，在各种情况下也可以搭配各种其他的东西，这就要发挥你的想象了，点击劫持让钓鱼又上升了一个高度。

有验证码怎么办?

部分网站在点击转账或其他敏感按钮的时候，会有验证码来验证，这对点击劫持也是一个考验，那么我们就可以用我们的东西把页面覆盖起来，但留下验证码图片和输入框一部分不覆盖，通过社工让用户自己识别验证码并输入。

04 对于防御

X-FRAME-OPTIONS是目前最可靠的方法。

X-FRAME-OPTIONS是微软提出的一个http头，专门用来防御利用iframe嵌套的点击劫持攻击。

并且在IE8、Firefox3.6、Chrome4以上的版本均能很好的支持。

这个头有三个值：

DENY // 拒绝任何域加载

SAMEORIGIN // 允许同源域下加载

ALLOW-FROM // 可以定义允许frame加载的页面地址

php中设置：

header(“X-FRAME-OPTIONS:DENY”);

以上言论参考点击劫持提出者的个人博文和互联网上资料，如有错误，敬请包涵。

上一篇：利用Python和Scapy发现隐藏无线热点

下一篇：弥补现场管理漏洞杜绝零距离运维风险