浅谈clickjacking

今天在刺牛的博客上看到两篇文章:《OWASP会议上的Clickjacking》 《Clickjacking太猥琐了
文章中说明了clickjacking是咋回事。
1、表现为点击某个链接或button时,实际上是点击到别的地方去了(劫持链接)
2、不一定需要javascript,所以noscript也挡不住,但是如果有javascript会让事情更简单
3、攻击是基于DHTML的
4、使用lynx浏览器的话,不会受到影响(因为这玩意太简陋了)
5、需要攻击者一定程度上控制页面
6、如果禁用iframe的话,可以防止跨域的clickjacking
7、在一个flash游戏中点击的话(一般会有大量鼠标点击),效果会更好(估计adobe公司担心的这个?)
这几篇日志也都有众多大牛评论。俺看了一下,也有点自己想法,还望各位不要喷我,有什么错误也可以指出来,一起讨论。
我们可以看到一些文章中在建立iframe的时候使用的代码是如下所示的:

 

如图所示:
1.png
这是一个透明的框架。
在梦之光芒大牛的博客中有关于clickjacking猜想的文章,对这个有说明,这里我就不提了。
其实我这里主要是想到是把clickjacking用到挂马中来。
一些朋友挂马习惯用框架挂马,把框架大小设置为0*0之类的,或者使用JS脚本来挂马,这里用clickjacking来挂马也是不错的。
比如一些朋友有时候上一些*网,发现真讨厌,有些*网有时候利用代码出现一些图片伴随着鼠标。
其实我们也可以利用相关代码来让这个隐藏的框架跟随鼠标。这样用户在点击一个链接时候,clickjacking触发,用户会被带到指定的网站。代码如下:

看了这篇文章还没有理解具体含义的同学,可以参考:《点击劫持(ClickJacking)的小科普

[via@法客-凯文]