溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
1)ClickJacking
ClickJacking點擊劫持,這是一種視覺上的欺騙。
***者使用一個透明的、不可見的iframe,覆蓋在網頁的某個位置上,誘使用戶點擊iframe。
2)TapJacking
現在移動設備的使用率越來越高,針對移動設備的特點,衍生出了TapJacking(觸屏劫持)。
手機上的屏幕范圍有限,手機瀏覽器為了節約空間,可以隱藏地址欄,手機上的視覺欺騙會更加容易實施。
1. 第一張中最上方顯示了瀏覽器地址欄,同時***者在頁面中畫出了一個假的地址欄;
2. 第二張中真實的瀏覽器地址欄已經自動隱藏了,此時頁面中只剩下假的地址欄;
3. 第三張中是瀏覽器地址欄被正常隱藏的情況。
這種針對視覺效果的***可以被利用進行釣魚和欺詐。
3)X-Frame-Options
針對傳統的界面劫持,通過禁止iframe來防范。
HTTP頭中有一個響應頭X-Frame-Options,有三個值可以選擇:
1. DENY:該頁面不允許加載任何 iframe頁面。
2. SAMEORIGIN:該頁面可以加載相同域名的 iframe頁面。
3. ALLOW-FROM uri:該頁面可以加載指定來源的 iframe頁面。
HTML5中新增的一些標簽和屬性,使得XSS等Web***產生了新的變化,在HTML5 Security Cheatsheet中總結了這些變化。
1)隱藏URL惡意代碼
反射型XSS中,會將惡意代碼寫在URL參數中,這樣的話,新航道托福用戶也能看到惡意代碼,例如下面的鏈接:
http://www.csrf.net/csrf.html?id=<script>111</script>
可以通過window.history來操作瀏覽器的歷史記錄。
pushState()有三個參數:狀態對象、標題,可選的URL地址。
history.pushState({},"", location.href.split('?').shift());執行上面那段代碼后就會將參數隱藏。
新的URL地址就是下面這個:
“pushState”還可以偽造瀏覽器歷史記錄。
for(i=0; i<10; i++)
history.pushState({},"", "/"+i+".html");
2)HTML5下的僵尸網絡
僵尸網絡(Botnet)是指在大量的計算機中植入特定的惡意程序,使控制者能夠通過若干計算機直接向其他計算機發送指令,進行網絡***。
基于Web前端的僵尸網絡可以用作DDOS***,這里涉及Web Worker技術和CORS處理機制,再通過Web蠕蟲傳播。
Web Worker是一種多線程機制,可以異步執行惡意JS代碼,而不影響用戶在瀏覽器中的正常操作。
CORS處理機制工作在瀏覽器層面,如果服務器不允許跨站,瀏覽器將攔截服務器返回的結果,也就是說跨域請求,服務器也會正常響應。
那么就可以事先寫好一段異步請求的腳本(worker.js),然后通過Web Worker來執行這段腳本,不斷的向目標服務器發起請求。
var worker_loc = 'worker.js';//封裝了ajax請求的腳本var target = 'http://news.qq.com/photo.shtml';//要***的網址//可實例化多個Web Workervar workers = [];for (i = 0; i < 1; i++) {
workers[i] = new Worker(worker_loc);
workers[i].postMessage(target);//跨域消息傳遞}
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
