Web安全：点击劫持

点击劫持又称为UI覆盖攻击。这类攻击利用了HTML中<iframe>等标签的透明属性来诱使用户在不知情的情况下，点击内嵌在原始网页中的透明网页。此刻，透明网页中的恶意代码自动运行，对用户的个人信息及个人利益造成不可预测的威胁。

点击劫持这个词是由互联网安全专家Hansen与Grossmann首创的，点击劫持（clickhijacking）事实上是由点击（click）与劫持（hijacking）两个词组合而来的。

关于点击劫持的防御，微软专门设计了一个HTTP响应头x-frame-options来防御利用<frame>标签、<iframe>标签或者<object>标签形成的点击劫持。HTTP响应头x-frame-options是用来给浏览器指示可否允许一个页面在<frame>标签、<iframe>标签或者<object>标签中展现的标识。网站可以使用此功能来确保其内容未被嵌入其他的网站，从而也避免了点击劫持。

某站遭遇点击劫持，我们登录系统的时候，准备输入用户名与密码，如图1所示。

图1  登录系统

用户名与密码输入完毕，当单击登录的时候，却发现页面如图2所示。

图2  点击劫持

这是本地计算机的Cookie文本数据。由此可见，网站应该是被植入了一段显示本地计算机Cookie的JavaScript代码。当再次单击登录的时候，浏览器突然跳转至一个陌生的网站。第二天，意外发现用户名与密码已被泄露，于是，即刻修改了用户名与密码。随后，经安全检查，发现这个登录框的表面其实还镶嵌着一个透明的、完全一样的登录框，此透明登录框的作用就是截获用户输入的用户名与密码及执行其他恶意代码。

微信公众号：计算机与网络安全

ID：Computer-network

一如既往的学习，一如既往的整理，一如即往的分享。感谢支持

“如侵权请私聊公众号删文”

扫描关注LemonSec

觉得不错点个“赞”、“在看”哦

本文始发于微信公众号（LemonSec）：Web安全：点击劫持