界面操作劫持攻击原理与防御方法
2015-08-05 11:02
471 查看
1. 攻击原理
界面劫持,分为点击劫持、拖放劫持、触屏劫持。就是我们的点击,拖放,触屏操作被劫持了,而去操作了其它的透明隐藏的界面。其原理是利用透明层+iframe,使用了css中的opacity和z-index等属性,来到达透明和位于其它界面的上方,然后使用iframe来嵌入劫持页面。到达了用户操作的不是它看到的,不是他以为的那个界面,而是那个透明的位于上层的界面。
2. 防御方法
有重要会话的交互页面不允许使用iframe嵌入,或者值允许被同域的iframe嵌入。
2.1 X-Frame-Options
在web server端给Http响应头中加入一个X-Frame-Options头,取值有 "DENY" 和 "SAMEORIGIN",分别表示不能使用iframe和只能使用同域的iframe。
2.2 Frame Busting脚本防御
禁止iframe的嵌套。
3. 有价值的参考链接
http://blog.csdn.net/hfahe/article/details/8138728 http://bbs.pediy.com/showthread.php?p=1360094 http://blog.avlyun.com/2014/03/254/%E8%AD%A6%E6%83%95%E5%8F%A6%E7%B1%BBactivity%E5%8A%AB%E6%8C%81/
4. web安全的参考书籍
《XSS跨站脚本攻击剖析与防御》
《Web前端黑客技术揭秘》
《白帽子讲Web安全》
界面劫持,分为点击劫持、拖放劫持、触屏劫持。就是我们的点击,拖放,触屏操作被劫持了,而去操作了其它的透明隐藏的界面。其原理是利用透明层+iframe,使用了css中的opacity和z-index等属性,来到达透明和位于其它界面的上方,然后使用iframe来嵌入劫持页面。到达了用户操作的不是它看到的,不是他以为的那个界面,而是那个透明的位于上层的界面。
2. 防御方法
有重要会话的交互页面不允许使用iframe嵌入,或者值允许被同域的iframe嵌入。
2.1 X-Frame-Options
在web server端给Http响应头中加入一个X-Frame-Options头,取值有 "DENY" 和 "SAMEORIGIN",分别表示不能使用iframe和只能使用同域的iframe。
2.2 Frame Busting脚本防御
if(top.location != self.location){ top.location = self.location; }
禁止iframe的嵌套。
3. 有价值的参考链接
http://blog.csdn.net/hfahe/article/details/8138728 http://bbs.pediy.com/showthread.php?p=1360094 http://blog.avlyun.com/2014/03/254/%E8%AD%A6%E6%83%95%E5%8F%A6%E7%B1%BBactivity%E5%8A%AB%E6%8C%81/
4. web安全的参考书籍
《XSS跨站脚本攻击剖析与防御》
《Web前端黑客技术揭秘》
《白帽子讲Web安全》
相关文章推荐
- css盒子模型和定位
- 南邮 OJ 1208 邮局选址问题
- FTP Client enterLocalPassiveMode
- DrawLayout的使用
- HDU 5327 Olympiad(转)(数组前缀和)
- Image Super-Resolution Using Deep Convolutional Network (with demo)
- Convert Sorted Array to Binary Search Tree
- OSAL消息相关函数介绍
- 如何利用百度蜘蛛referer找到报错页面入口?
- 二叉搜索树
- Terrible Sets(求矩形的最大面积(递增栈))
- 在Linux中打开了太多文件(Too many open files)的解决方法
- 南邮 OJ 1207 众数问题
- 《Objective-C基础教程》第2章 对C的扩展
- error C1189: #error : Please use the /MD switch for _AFXDLL builds---解决方案
- iOS开发之NSString的几条实用技巧
- hdu 2104 hide handkerchief
- 单例模式
- C++四种不同的对象生存方式
- 二叉树的递归与非递归遍历