用外行术语说,Clickjacking如何传播?

时间:2015-09-15 07:00:28

标签: security iframe clickjacking

我一直在阅读很多关于iframe和点击劫持的内容,但却无法找到我想要的信息。你可以帮我解决下面的问题吗?

Iframe点击劫持如何传播?我看过很多文章提到在本地机器上编辑html代码,同样他们可以通过添加一个隐形按钮来劫持用户点击。但是,这是用户本地机器上的修改逻辑。我有兴趣知道是否可以将相同的代码推送到云中并影响登录或使用该门户的每个用户?如果有,怎么样?

如果我在我的网站上启用了Iframe选项,则存在安全风险,因为我的网页可以作为iframe加载到其他人的网站中,并且可能会误用它。如果有任何安全数据,如果最终用户意外进入该网站,则数据被黑客入​​侵。这是一个安全问题因此总是建议不要允许Iframe,这是正确的吗?是否存在其他安全风险。

如果存在任何其他风险,请添加。

1 个答案:

答案 0 :(得分:4)

Clickjacking不会传播。

按字面意思显示 - 点击次数 - 仅此而已。但是,这些点击的后果可能很严重。

想象一下,您访问了一个网站evil.example.org。在另一个标签页中,您还会登录到您的银行bank.example.com

evil.example.org还会在IFrame中加载bank.example.com。但是,它使用CSS使这个IFrame不可见。并且它不加载主页,它加载汇款页面,传递一些参数:

<iframe src="https://bank.example.com/loggedIn/transferMoney?toAccount=Bob&amount=100000"></iframe>

现在,此页面不会立即转账。它要求用户单击以确认转移到Bob。

但是,evil.example.org确认转移按钮下方绘制一个按钮,说明免费iPad点击此处

因为IFrame是不可见的,所以用户只需看到免费iPad点击此处。但是当他们点击时,浏览器会针对确认传输

注册点击

因为您已经在另一个标签中登录了银行网站,所以Bob刚收到了您的资金。

请注意,X-Frame-Options标头会修复您网站上的此漏洞,前提是它已设置为SAMEORIGINDENY。在添加标头之前,您很容易受到攻击。 CSP中有一个名为frame ancestors的新指令 - 但是,只有最新的浏览器支持它,因此您最好在此时添加两个标头。这将为您提供Internet Explorer 8及更高版本以及Chrome,Firefox,Opera和Safari的保护。

防止取景还可以帮助阻止Cross Site History Manipulation等攻击。