點擊劫持攻擊及防御

點擊劫持?(Clickjacking)?技術又稱為界面偽裝攻擊?(UI redress attack )，是一種視覺上的欺騙手段。攻擊者使用一個或多個透明的?iframe?覆蓋在一個正常的網頁上，然后誘使用戶在該網頁上進行操作，當用戶在不知情的情況下點擊透明的?iframe?頁面時，用戶的操作已經被劫持到攻擊者事先設計好的惡意按鈕或鏈接上。攻擊者既可以通過點擊劫持設計一個獨立的惡意網站，執行釣魚攻擊等；也可以與?XSS?和?CSRF?攻擊相結合，突破傳統的防御措施，提升漏洞的危害程度。

什么是點擊劫持

點擊劫持的定義

點擊劫持攻擊是一種基于視覺欺騙的Web會話劫持攻擊，它通過在網頁的課件輸入控件上覆蓋一個不可見的框（iframe），使得用戶誤以為在操作可見控件，而實際上用戶的操作行為被其不可見的框所劫持，執行不可見框中的惡意代碼，從而完成在用戶不知情的情況下竊取敏感信息、篡改數據等攻擊。

點擊劫持的分類

Flash點擊劫持（Flash ClickJacking），劫持用戶的鼠標點擊操作。

拖放劫持（Drag & Drop Jacking），劫持用戶鼠標拖放操作。比如用戶使用拖放來完成復制和粘貼的操作。

觸屏劫持（TapJacking），觸屏劫持是智能終端設備的一種劫持方式。智能終端設備一般都沒有鼠標、鍵盤這種輸入設備，用戶的操作大部分都是依靠手指在觸摸屏上的點擊或滑動等動作完成的。

點擊劫持攻擊原理

點擊劫持漏洞?(Clickjacking)?是由網絡安全專家?Robert Hansen?和?Jeremiah Grossman?在?OWASP (Open Web Application Security Project)?會議上提出的，現場還對該漏洞的危害作了演示。第14屆Black Hat大會上，安全專家?Paul Stone?講解了Clickjacking?的拖拽（Drag-and-Drop）技術，這項技術使黑客的攻擊手法更加靈活多變，同時能夠突破許多傳統的安全防御措施，獲取更多的用戶信息，增加了Clickjacking?漏洞的危害性。

攻擊者在點擊劫持漏洞利用實現過程中使用?iframe?作為目標網頁載體。iframe?是?HTML?標準中的一個標簽，可以創建包含另外一個頁面的內聯框架，在點擊劫持漏洞利用中主要用來載入目標網頁。

點擊劫持攻擊步驟

黑客創建一個網頁利用iframe包含目標網站；隱藏目標網站，使用戶無法察覺到目標網站存在；構造網頁，誘騙用戶點擊特定按鈕；

用戶在不知情的情況下點擊按鈕，觸發執行惡意網頁的命令。

點擊劫持攻擊技術

目標網頁隱藏技術

目標網頁隱藏技術原理是攻擊者在惡意網站上通過?iframe?載入目標網頁，然并隱藏目標網頁，欺騙用戶點擊隱藏的惡意鏈接。目前主要的網頁隱藏技術有兩種：CSS隱藏技術和雙iframe隱藏技術。

CSS 隱藏技術的原理是利用?CSS?技術控制網頁內容顯示的效果。其中opacity參數表示元素的透明度，取值范圍為0~1，默認值為1表示不透明， 取值為0時元素在網頁中完全透明顯示。當設置目標?iframe?的opacity?屬性小于或等于0.1，用戶就無法看到含惡意代碼的目標網頁。

雙iframe隱藏技術使用內聯框架和外聯框架。內聯框架的主要功能是載入目標網頁，并將目標網頁定位到特定按鈕或者鏈接。外聯框架的主要功能是篩選，只顯示內聯框架中特定的按鈕。

點擊操作劫持

在成功隱藏目標網頁后，攻擊者下一個目標是欺騙用戶點擊特定的按鈕，最簡單實用的方法是使用社會工程學。例如，將攻擊按鈕外觀設計成類似QQ消息的提示按鈕，誘使用戶點擊從而觸發攻擊行為。另外一種思路是使用腳本代碼以及其他技術增加用戶點擊特定按鈕的概率。主要方法如JavaScript實現鼠標跟隨技術、按鍵劫持?(Stroke jacking)?技術等。

拖拽（Drag and Drop）技術

主流的瀏覽器都有drag-and-drop API?接口，供網站開發人員創建交互式網頁。但是，這些?API?接口在設計時沒有考慮很多的安全性問題，導致通過拖拽就可以實現跨域操作。利用拖拽技術，攻擊者可以突破很多已有的安全防御措施，

利用拖拽技術，攻擊者可以輕易將文本注入到目標網頁。在實際實施過程中，攻擊者欺騙用戶選擇輸入框的內容，完成拖拽操作。另外一種方式是，通過瀏覽器的?API?接口將?iframe?中的內容拖拽到目標網頁的?text area?中，攻擊者就可以獲得用戶網頁中存在的敏感信息。

點擊劫持漏洞的防御

點擊劫持漏洞防御措施可以從兩個方面考慮：服務器端防御和客戶端防御。服務器端防御主要涉及到用戶身份驗證，客戶端防御主要涉及到瀏覽器的安全。

服務器端防御

服務器端防御點擊劫持漏洞的思想是結合瀏覽器的安全機制進行防御，主要的防御方法介紹如下。

X-FRAME-OPTIONS?機制

在微軟發布新一代的瀏覽器Internet Explorer 8.0中首次提出全新的安全機制：X-FRAME-OPTIONS。該機制有兩個選項：DENY?和?SAMEORIGIN。DENY表示任何網頁都不能使用?iframe?載入該網頁，SAMEORIGIN表示符合同源策略的網頁可以使用?iframe載入該網頁。如果瀏覽器使用了這個安全機制，在網站發現可疑行為時，會提示用戶正在瀏覽網頁存在安全隱患，并建議用戶在新窗口中打開。這樣攻擊者就無法通過?iframe?隱藏目標的網頁。

使用?FrameBusting?代碼

點擊劫持攻擊需要首先將目標網站載入到惡意網站中，使用?iframe?載入網頁是最有效的方法。Web安全研究人員針對?iframe?特性提出?Frame Busting?代碼，使用?JavaScript?腳本阻止惡意網站載入網頁。如果檢測到網頁被非法網頁載入，就執行自動跳轉功能。Frame Busting代碼是一種有效防御網站被攻擊者惡意載入的方法，網站開發人員使用Frame Busting代碼阻止頁面被非法載入。需要指出的情況是，如果用戶瀏覽器禁用JavaScript腳本，那么FrameBusting代碼也無法正常運行。所以，該類代碼只能提供部分保障功能。

使用認證碼認證用戶

點擊劫持漏洞通過偽造網站界面進行攻擊，網站開發人員可以通過認證碼識別用戶，確定是用戶發出的點擊命令才執行相應操作。識別用戶的方法中最有效的方法是認證碼認證。例如，在網站上廣泛存在的發帖認證碼，要求用戶輸入圖形中的字符，輸入某些圖形的特征等。

客戶端防御

由于點擊劫持攻擊的代碼在客戶端執行，因此客戶端有很多機制可以防御此漏洞。

升級瀏覽器

最新版本的瀏覽器提供很多防御點擊劫持漏洞的安全機制，對于普通的互聯網用戶，經常更新修復瀏覽器的安全漏洞，能夠最有效的防止惡意攻擊。

NoScript?擴展

對于Firefox的用戶，使用?NoScript?擴展能夠在一定程度上檢測和阻止點擊劫持攻擊。利用?NoScript?中?ClearClick?組件能夠檢測和警告潛在的點擊劫持攻擊，自動檢測頁面中可能不安全的頁面。

智能云網

智能云網社區是華為專為開發者打造的“學習、開發、驗證、交流”一站式支持與服務平臺，該平臺涵蓋多領域知識。目前承載了云園區網絡，云廣域網絡，數通網絡開放可編程，超融合數據中心網絡，數通網絡設備開放社區共五個場景。為了響應廣大開發者需求，還提供了開發者交流、API?體驗中心、多媒體課件、SDK工具包、開發者工具以及遠程實驗室共六大工具，讓開發者輕松開發。歡迎各位前來體驗。

>>戳我了解更多<<

web前端

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。