内容
- 定义-Clickjack Attack是什么意思?
- Microsoft Azure和Microsoft Cloud简介在本指南中,您将了解什么是云计算,以及Microsoft Azure如何帮助您从云迁移和运行业务。
- 技术百科解释了Clickjack攻击
定义-Clickjack Attack是什么意思?
Clickjack攻击是攻击者用来记录受感染用户在Internet上的点击的恶意技术。这可用于将流量定向到特定站点或使用户喜欢或接受应用程序。更邪恶的目的可能是收集保存在浏览器中的敏感信息(例如密码)或安装恶意内容。
这种攻击也称为点击劫持或用户界面重新寻址。
Microsoft Azure和Microsoft Cloud简介在本指南中,您将了解什么是云计算,以及Microsoft Azure如何帮助您从云迁移和运行业务。
技术百科解释了Clickjack攻击
通常,通过将隐藏的链接放在有效按钮上来执行点击劫持。但是,利用可能还包括以下内容:
- 诱使用户通过Flash启用其麦克风和网络摄像头
- 欺骗用户公开其社交媒体个人资料详细信息
- 使受感染的用户在不知不觉中跟随某人
可以通过使用IFRAME来实现Clickjack攻击,这些元素是从其他位置(例如其他网站)提取内容的HTML元素。 Clickjack攻击者可以在任何网站上嵌入IFRAME,并将不可见的IFRAME覆盖在合法按钮的顶部。当用户单击合法按钮时,实际上是在单击攻击者的按钮或链接。
使其成为一种非常强大的攻击方式的原因是,它实际上是在HTML规范的范围内完成的,这意味着该网站正在按预期运行。攻击者只是利用此功能进行恶意攻击。万维网联盟(W3C)试图定义一个新标准,以使网站能够禁止外部干扰。
网站管理员可能直到有用户投诉才知道出了问题。很难确定发生了攻击,因为该站点上的所有内容看起来都一样,并且clickjack元素已被完全伪装成无害的。
用于Mozilla的NoScript附加组件,Gazelle Web浏览器和Framekiller JavaScript代码段是一些可用来防止Clickjack攻击的措施。