什么是点击劫持
Clickjacking是一种基于界面的攻击,其中,通过诱骗用户单击诱饵网站中的某些其他内容,诱骗用户单击隐藏网站上的可操作内容。
考虑以下示例:
网络用户访问诱饵网站(也许这是电子邮件提供的链接),然后单击按钮以赢取奖金。不知不觉中,它们已被攻击者欺骗,诱使他们按下了其他隐藏按钮,从而导致了另一个站点上的帐户付款。这是一个点击劫持攻击的示例。该技术取决于在iframe中包含按钮或隐藏链接的不可见,可操作的网页(或多个页面)的合并。iframe覆盖在用户预期的诱饵网页内容之上。
此攻击与CSRF攻击的不同之处在于,要求用户执行按钮单击之类的操作,而CSRF攻击则取决于在用户不知情或没有输入的情况下伪造整个请求。
通常通过使用CSRF token来提供针对CSRF攻击的保护:令牌是特定于会话的,一次性使用的数字或随机数。
CSRF token 无法缓解Clickjacking攻击,因为目标会话是使用从真实网站加载的内容建立的,并且所有请求都在域内发生。CSRF token被放入请求中,并作为正常行为会话的一部分传递给服务器。与普通用户会话相比,差异在于该过程发生在隐藏的iframe中。
如何构建基本的点击劫持攻击
点击劫持攻击使用CSS创建和操纵图层。攻击者将目标网站合并为诱饵网站上覆盖的iframe图层。使用样式标签和参数的示例如下
<head>
<style>
#target_website {
position:relative;
width:128px;
height:128px;
opacity:0.00001;
z-index:2;
}
#decoy_website {
position:absolute;
width:300px;
height:400px;
z-index:1;
}
</style>
</head>
...
<body>
<div id="decoy_website">
...decoy web content here...
</div>
<iframe id="target_website" src="https://vulnerable-website.com">
</iframe>
</body>
目标网站iframe定位在浏览器中,因此使用适当的宽度和高度位置值,目标动作与诱饵网站存在精确的重叠。无论屏幕大小,浏览器类型和平台如何,绝对位置值和相对位置值均用于确保目标网站准确地与诱饵重叠。Z索引确定iframe和网站层的堆叠顺序。不透明度值定义为0.0(或接近0.0),以使iframe内容对用户透明。浏览器点击劫持保护可能会应用基于阈值的iframe透明度检测(例如,Chrome 76包含此行为,但Firefox不包含)。攻击者选择不透明度值,以便在不触发保护行为的情况下获得所需的效果。