Clickjacking链接劫持的基本方法原理
Clickjacking,链接劫持,其实不只是劫持用户的链接,只要用户访问这个页面,不点击链接,也能被劫持。
劫持的基本原理是:用透明的遮罩层置于正常页面上方(用css的z-index值控制),这样使得用户无法发现这个透明的层。
用户打开一个被控制的页面,不见得都会点链接,但是很多用户看网页的时候习惯性的在空白处点,这些空白的地方完全可以被劫持,一个页面上任何地方地方都可以被放上一个透明的层引导点击或者其他用户行为,从而完成用户本不想要的操作,进而未完成攻击。。
攻击例如:
通过让用户点击一个看不到的Flash,强制启动视频,让管理员执行一些删除添加等特权操作,让普通用户执行其他恶意操作。
劫持的基本原理是:用透明的遮罩层置于正常页面上方(用css的z-index值控制),这样使得用户无法发现这个透明的层。
用户打开一个被控制的页面,不见得都会点链接,但是很多用户看网页的时候习惯性的在空白处点,这些空白的地方完全可以被劫持,一个页面上任何地方地方都可以被放上一个透明的层引导点击或者其他用户行为,从而完成用户本不想要的操作,进而未完成攻击。。
攻击例如:
通过让用户点击一个看不到的Flash,强制启动视频,让管理员执行一些删除添加等特权操作,让普通用户执行其他恶意操作。
Tags: 安全
Subscribe to this blog. 
anonymous
Powered by
Recent comments