你真的了解点击劫持漏洞吗?
我听过许多关于点击劫持的版本,但没有人能真正把它解释清楚。
点击劫持的核心思想
点击劫持的核心思想在于:
- 目标网站:执行敏感操作的一方(例如“支付”、“更改设置”按钮所在的网站)。
- 攻击者的网站(诱饵):受害者实际看到的内容(通常是一些无害或诱人的内容,如“赢取大奖”、“领取奖品”、“玩游戏”等)。
- 攻击者通过一个透明的iframe嵌入目标网站,并将真实的目标按钮精确地叠加在虚假的诱饵按钮之下。
- 受害者认为他们点击的是攻击者网站上的按钮,但实际上,他们的点击被传递给了下方隐藏的目标按钮。
为什么点击劫持至关重要
- 受害者从未意识到自己与目标网站进行了交互。
- 攻击者无需复制目标网站的功能,他们只是劫持了点击操作。
- 这就是为什么目标网站必须是不可见的——因为如果受害者看到了真实的“支付”按钮,他们就不会上当受骗。
可能存在的反向操作争议
有些人可能会争论,点击劫持是否也可能以相反的方式工作? 例如…… 用户可以看到攻击者的页面。 但当他们点击时,操作被劫持并转到攻击者控制的元素上。
但这在严格意义上并非点击劫持。 相反,这属于其他类别,例如: 钓鱼攻击: 攻击者克隆目标页面并自己托管。 用户看到的是看起来像目标页面的内容,但所有按钮都由攻击者控制。 CSD0tFqvECLokhw9aBeRqh5fNS60yFQm/TJtt2PxbAjbxeARE1dnLU2EDAC91GVL9tDk0/8yFJTFMpgj9r3IGAYwu8ZylR33a4yM3RBItzWX1g7EvP81AXPKLYspHkoh
