首页 > webfront > SGML > web > > 正文

再谈Hijacking——JavaScript ClickJacking原理浅析

发布人:zhoulujun    点击:

ClickJacking,即点击劫持。它通常使用一个ifream覆盖掉当前页面,欺骗用户点击iframe中的恶意内容。通过对用户在视觉上的欺骗完成攻击,主要有CSS控制攻击向量。通过把被攻击网站(后面以Alice表示)设置为z轴最大值,即位于页面

之前我以为ClickJacking不就是模拟点击吗?其实也没有什么好讲的。如果我来做ClickJacking攻击,还不如直接爬虫抓取其页面,显示在我的网页中,然后截取其输入输出,用我的服务器提交。这方面的demo及防御待我整理归纳下,还是先上小菜ClickJacking

ClickJacking含义与危害

ClickJacking,即点击劫持。它通常使用一个ifream覆盖掉当前页面,欺骗用户点击iframe中的恶意内容。通过对用户在视觉上的欺骗完成攻击,主要有CSS控制攻击向量。通过把被攻击网站(后面以Alice表示)设置为z轴最大值,即位于页面的最靠近用户的地方,并设置为透明。是得用户点击页面其他标签时(例如button),实际上点击到了Alice上面的内容。

20161105110623274 (1).png

Clickjacking技术首先是由Jeremiah Grossman 和 Robert Hanson在2008年提出的

常见的Clickjacking攻击手法

  • 通过Flash打开受害者的摄像头或麦克风

  • 诱使用户在不知情的情况下粉某人(- -!外国也流行刷粉啊)

  • 控制用户分享恶意链接

  • 诱使用户点击某链接 (点击查看,苍老师.avi)

Cursorjacking

就像他的名字一样,这是一种对鼠标的劫持。在这种攻击手法下,受害者的鼠标会偏移原有的位置。使受害者点到原本不想点的链接。这种攻击手法首次被Marcus Niemietz提出。

demo:

http://podlipensky.com/examples/clickjacking/cursorjacking-js.html

https://koto.github.io/blog-kotowicz-net-examples/cursorjacking/


Clickjacking高级黑

以上种种,自认为Clickjacking并没有什么可怕之处!但是,Clickjacking结合CSRF(跨站请求伪造)就非常可怕。

要完成一次CSRF攻击,受害者必须依次完成两个步骤:

  1.登录受信任网站A,获取授权信息(比如cookie、token)

  2.在不登出A的情况下,访问危险网站B。

  3.危险网站B通过A站的授权信息非法操作A网站

实例:银行网站A,它以GET请求来完成银行转账的操作,如:http://www.mybank.com/Transfer.php?toBankId=11&money=1000

危险网站B,它里面有一段HTML的代码如下:

<img src=http://www.mybank.com/Transfer.php?toBankId=11&money=1000>

CSRF的防御

CSRF防御比较简单,一般都是服务端干的事情,作为全栈工程师,这里也得提下CSRF防御措施

  • Cookie Hashing(所有表单都包含同一个伪随机值):这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了。由于用户的Cookie很容易由于网站的XSS漏洞而被盗取。

  • 验证码 : 图片验证码-》短信验证码》加密令牌

  • One-Time Tokens(不同的表单包含一个不同的伪随机值):如果用户在一个站点上同时打开了两个不同的表单,CSRF保护措施不应该影响到他对任何表单的提交。

但是这些种种,只要登录过A站,那么我在B站构造A站的表达,然后欺骗用户提交A站。这个危害想想都可怕。这只是ClickJacking的牛刀小试。

ClickJacking防范措施

1. 通过在网页中添加js脚本阻止被iframe嵌套

 js 判断顶层窗口跳转,可轻易破解,意义不大

function locationTop(){
    if (top.location != self.location) {
        top.location = self.location;
        return false;       
    }
    return true;
}
locationTop();  //var location = document.location;

  缺点:可以被绕过。

2.meta 标签:很多时候没有效果,无视

<meta http-equiv="X-FRAME-OPTIONS" content="DENY"/>

3.网站设置X-Frame-Options的http头

  对网站设置X-Frame-Options的http头可以组织一个网站被加载到

  具体为设置值为:

  • DENY时:禁止在任何的网页中加载此页面;

  • SAMEORIGIN时:frame页面的地址只能为同源域名下的页面;

  • ALLOW-FROM:允许frame加载的页面地址

PHP代码:header('X-Frame-Options:Deny');

Nginx配置:add_header X-Frame-Options SAMEORIGIN

Apache配置:Header always append X-Frame-Options SAMEORIGIN


参考文章:

深入理解JavaScript Hijacking原理(陈曦明)

web安全——ClickJacking

基于iframe的CFS(Cross Frame Script)和Clickjacking(点击劫持)攻击

Hijack攻击揭秘

ClickJacking漏洞的原理

浅谈CSRF攻击方式