俗话说 : 功夫再高.也怕菜刀 菜刀的含义很多,下面我就来看看web中的第一把菜刀.
俄罗斯有一个很经典的玩具–俄罗斯套娃,古希腊也有一个很经典的战役–特洛伊木马 .
外在是一个普通物体,实际一层一层的嵌套.里面就是hack跟欺骗.
iframe回顾
iframe标签虽然h5中使用其实不多,但是它的功能还是很强大的.
- 可以创建包含另一个文档的内联框架
iframe嵌套的东西可以是一个完整的页面,然后可以完全覆盖原本的整个html窗口,实践一下就知道了.
Clickjack
通过覆盖不可见的frame (iframe设置可见度为0).导致普通用户点击表层的按钮实际触发危险页面的攻击行为. 有如下特点
- 隐蔽性较高.
- 骗取用户操作
- 常见利用iframe 标签或者其他标签的属性
- 又称为”UI覆盖攻击”
比如有一个诱惑力高的游戏.
我们结合上面的iframe页面嵌入,把透明度设置的很低直到0的时候,就会出现这样的情况了.
可以发现,只要精心设计一下,让两个button重合.
然后我们可以进一步升级一下,当我们需要比较复杂的攻击,比如转账的时候,就可以模拟一个小游戏,一步步的去覆盖我们需要的行为.
通过调整button跟iframe的相关坐标跟属性.我们可以达到隐匿iframe.然后使得两个图标重合的效果,代码如图
然后网站换成安全中心的.就可以实现这一的效果了. (把iframe的opacity改为0)
##后续
点击劫持的利用还有很多可以改进加强的地方.也可以跟其他攻击方法结合.待补充