课程进度 33% · 第4/10章第4/10章 · 标签 1/4
— 1 —
点击劫持概述
1. 点击劫持定义
点击劫持(Clickjacking)是一种视觉欺骗攻击,攻击者将目标网站嵌入到恶意网站中,通过覆盖层诱导用户点击看似无害的元素,实际上点击的是目标网站上的敏感操作。
2. 攻击特点
- 利用iframe嵌入目标网站
- 使用CSS隐藏目标网站
- 诱导用户点击特定位置
- 用户不知情的情况下执行操作
- 可以绕过某些安全措施
— 2 —
3. 常见攻击场景
- 社交媒体点赞
- 银行转账
- 关注/订阅操作
- 删除数据
- 修改隐私设置
html
1
// 攻击场景示例
2
1. 社交媒体点赞
3
<div style="position: relative;">
4
<iframe src="https://social.com/post/123" style="opacity: 0.1;"></iframe>
5
<button style="position: absolute; top: 100px; left: 100px;">点击查看图片</button>
6
</div>
7
8
2. 银行转账
9
<div style="position: relative;">
10
<iframe src="https://bank.com/transfer" style="opacity: 0.1;"></iframe>
11
<button style="position: absolute; top: 200px; left: 200px;">领取优惠券</button>
12
</div>
13
14
3. 关注操作
15
<div style="position: relative;">
16
<iframe src="https://social.com/follow/456" style="opacity: 0.1;"></iframe>
17
<button style="position: absolute; top: 300px; left: 300px;">查看详情</button>
18
</div>