《白帽子讲web安全》学习笔记 (3)

点击劫持(ClickJacking)

点击劫持是一种视觉上的欺骗手段。攻击都使用一个透明的,不可见的iframe覆盖网站 上,然后诱使用户进行操作。

可以是iframe, flash,图片等常用的元素。

拖拽劫持与数据窃取(以前没有听说过)

目前很多的浏览器都支持Drag&Drop的API。此API是没有安全限制的。用户拖拽时,就带走了数据。

触屏劫持

智能手机的“触屏劫持”,与PC类似。

如何防御?

iframe busting

禁止iframe的被嵌套

if( top.locaiton != location){
     top.location =  self.location  
}

注:这是可以被绕过的!!!

X-Frame-Options

它一个HTTP头,可以说是为了解决clickjacking而生的。目前支持的浏览器如下:IE8+和其它大部分的浏览器。

它有三个可选的值:

  • DENY:浏览器会拒绝当前页面加载任何frame页面
  • SAMEORIGIN:只能加载同源的页面
  • ALLOW-FROM origin:则可以定义允许的iframe.

小结

clickjacking,相对于xss与csrf来说,因为需要诱使用户与页面产生交互,因些成本会更高,所以比较少见。但是可能被用作钓鱼、欺诈和广告作弊等方向,不可不防啊!!!

 

posted @ 2013-04-30 14:58  优秀毕业生  阅读(325)  评论(0编辑  收藏  举报