我喜欢黑夜,喜欢网络安全,孤独寂寞的黑夜里,我只需要,一包烟,一台笔记本...
更多
首  页>>网络攻防>> WEB安全猥琐流之”关注我吧”
猥琐流之”关注我吧”
4203
1推荐
2评论

文/sogili   来源:http://pkav.net/2013/01/341.html


主要说一下问世多年缺一直没被重视的”点击劫持”.

应用场景:
1.社区的关注功能,在WEB2.0时代”关注我”已经成为一个社区必备功能,被关注的愈多在社区的影响力往往也愈大.

点击劫持科普:
简单来说就是在一个网页内再嵌入一个要攻击的网站,把这个嵌入的网站设置为透明,然后再上面覆盖一层东西,让你点到他想要你点到的位置,而实际上你点击的确实被嵌入的网站,这样就完成了一次点击劫持攻击.

防嵌入?怎么破?
因为”点击劫持”已经问世很多年,所以主流的浏览器基本上都提供的防御方案.
1.X-Frame-Options http响应头
三个选项:
(1)DENY : 不允许被任何网站嵌入.
(2)SAMEORIGIN : 允许被同源的网站嵌入.
(3)ALLOW-FROM uri : uri为一个指定的地址,仅允许这个uri嵌入.
对于用这个办法防御的网站来说没有什么好办法,但ie低版本并不支持.

2.FrameBusting
简单来说就是用JS来检测是否被嵌入.
经典的framebuting代码:
if (top.location !== self.location) top.location=self.location;
对于这种framebuting还是可以hacking下的:
1.IE下的突破方法:
if(self.ActiveXObject)var location={};
2.Chrome下的突破方法,不过偶尔会失效,因为是利用时间竞争来突破的:
if(self.chrome)setInterval('location="javascript:void(0)"');//Chrome
乌云正好是用的这种经典framebusting,所以这里用乌云做个范例.

乌云”关注我”功能的POC:









自己用的话调下iframe的地址,宽高和xx,yy这个两个变量的值就好.


已经有 ( 2 ) 位网友对此发表了自己的看法,你也评一评吧! 此文不错,我要推荐-->    推 荐
  • 2楼 www.landylc.com 发表于:2013-04-10 16:35:34.0        回复
    我就不说你多猥琐了,成功获得我的关注。
  • 1楼 hostgator 发表于:2013-03-14 12:38:20.0        回复
    好详细的内容,支持一下,http://hostgator.bz
欢迎参与讨论,请在这里发表您的看法、交流您的观点@禁止各种脚本

  • 点击Top
  • 推荐Top
  • 评论Top
更 多>>
本站采用Java语言开发,Spring框架,欢迎朋友们提意见。重新对页面进行布局,修改了程序,方便开源使用,由于本人美工真的不行 ,很少用背景图片,页面基本都用背景色...
主题:无色无味 | 网站地图|
Copyright (c) 2012-2013 www.shack2.org All Rights Reserved. | 空ICP备111111111号 | 程序设计: shack2 Powered by SJBlog v1.0 联系QQ:1341413415