攻击者诱骗用户选择输入框的内容并完成拖放操作。攻击者通过浏览器的API接口将iframe内的内容拖动到目标网页的文本区域,就可以获取用户网页上的敏感信息。点击劫持防护技术服务器端防御服务器端防御点击劫持漏洞的思路是结合浏览器的安全机制。主要防御方法有:
1. X-FRAME-OPTIONS机制
新的安全机制是在微软发布新一代浏览器Internet Explorer 8.0时首次提出的。
X 框架选项。该机制有两个选项:DENY 和SAMEORIGIN。 DENY表示任何网页都不能使用iframe加载该网页,SAMEORIGIN表示符合同源策略的网页可以使用iframe加载该网页。
除了Chrome和Safari之外,还支持第三个参数Allow-From(白名单限制)。当您的浏览器使用此安全机制时,当它检测到网站上的可疑行为时,它会通知您正在查看的网页存在安全风险,并提示您更新该网页。我们建议您在窗口中打开该网页。这可以防止攻击者通过iframe 隐藏目标网页。
2.使用FrameBusting代码
点击劫持攻击首先需要将目标网站加载到恶意网站中。这是使用iframe 加载网页的最有效方法。网络安全研究人员提出了一种用于iframe 功能的框架破坏代码,该代码使用JavaScript 脚本来防止恶意网站加载网页。如果检测到未经授权的网页加载,则执行自动跳转功能。框架破坏代码是防止攻击者恶意加载您的网站的有效方法。网站开发人员使用框架破坏代码来防止页面加载不正确。请注意,如果用户浏览器中禁用了JavaScript,则FrameBusting 代码将无法正常工作。因此,此类代码只能提供部分保护。
3. 使用授权码对用户进行身份验证
点击劫持漏洞是通过欺骗性网站界面来利用的。验证码可以让网站开发者识别用户并确保用户发出的点击命令执行相应的操作。识别用户的最有效方法是通过身份验证码。例如,网站上广泛使用的后验证码要求用户输入图形中的字符或某些图形特征。
客户端防御由于点击劫持攻击的代码在客户端上运行,因此客户端有许多机制来防范此漏洞。
1. 升级浏览器
现代版本的浏览器有许多安全机制来防止点击劫持漏洞。对于普通互联网用户来说,经常更新和修复浏览器安全漏洞是防范恶意攻击的最有效方法。
2.NoScript扩展
对于Firefox 用户,NoScript 扩展允许您检测并阻止一些点击劫持攻击。使用NoScript 的ClearClick 组件来检测潜在的点击劫持攻击并向您发出警报,并自动检测潜在的不安全页面。
感谢您的阅读。如果您喜欢,请转发并关注我们的编辑。上一篇:《网络安全》中常见攻击(十九)——MAC Flood攻击
下一篇:网络安全常见攻击(二十一)——路由协议攻击
本文和图片来自网络,不代表火豚游戏立场,如若侵权请联系我们删除:https://www.huotun.com/game/646270.html