google的点击劫持漏洞获得7500美刀-徐徐361
微信影视 | 微信编辑 |  便民导航 | 微信游戏 | 哈尔滨社交 | 保存到桌面 | 注册 | 登录 | 提交微信QQ公号
公告:
史上最简单最实用的微信公众平台导航网站!
当前位置:首页 > 微资讯 >

google的点击劫持漏洞获得7500美刀

发布时间:2019-06-24 21:33浏览37次

今天看到一个google的点击劫持漏洞获得7500美刀,连接如下

https://apapedulimu.click/clickjacking-on-google-myaccount-worth-7500/



点击劫持漏洞,利用UI重叠,视觉上的欺骗的漏洞,用于钓鱼。

了解点击劫持可以参考freebuff这篇文章《浅析点击劫持攻击》

https://www.freebuf.com/articles/web/67843.html

测试点击劫持的方法也很简单,把页面插入iframe标签中,能成功显示的就是劫持成功。

如:测试劫持页面  http://127.0.0.1/cj/index.html

测试poc

<html><iframe src="http://127.0.0.1/cj/index.html"></iframe></html>

这时候访问测试poc

出现这样的结果,表示页面被我们成功劫持了。

现在一般写脚本自动化测试的时候会关注返回的响应头是否有X-FRAME-OPTIONS,因为这个是解决点击劫持比较好的方法。不存在这个响应头那就可能存在点击劫持

http://127.0.0.1/cj/index.html  我们加上X-FRAME-OPTIONS试试看测试结果

这样就劫持不到了。
---------------------
作者:黑面狐
来源:CSDN
原文:https://blog.csdn.net/qq1124794084/article/details/84072580
版权声明:本文为博主原创文章,转载请附上博文链接!


顶部㊣搜Q我微信二维码底部
扫描二维码关注我为好友