程序员征服安全:分享与学习系列-点击劫持
Susie 打开她的电子邮件是为了逃避两天后到期的令人讨厌的报告。她看到收件箱中出现了免费iPad的链接。点击后,她进入了一个带有大横幅页面的网站,上面写着:“点击这里免费获得iPad!”。她点击了按钮,但似乎什么也没发生。问题是,确实发生了一些事情。
回到收件箱后,她意识到所有电子邮件都已删除。她甚至没有在其中任何一个上点击 “删除”。发生了什么?
该电子邮件网站被点击劫持。点击劫持会诱使用户执行他们本来不打算执行的操作,这可能会导致严重的问题。
现在让我们来看看点击劫持是如何工作的,为什么它很危险,以及像你这样的开发者可以做些什么来防止这种情况:
了解点击劫持
点击劫持,也称为 “用户界面修复攻击”,发生在攻击者使用网页上的多个透明层诱使用户点击用户不打算点击的按钮或链接时。
你曾经在车里遇到过虫子吗?他们疯狂地飞向窗户试图飞到外面。虫子的意图是飞向看起来像树木和露天的地方,却忘记玻璃挡住了它的路径。
点击劫持在设计上也类似,唯一的不同是用户是漏洞,而你的网站是挡路的玻璃。用户会看到他们想要的东西,例如免费的 iPhone。攻击者将您的网站放在免费iPhone广告顶部的透明框架内。当用户点击按钮获取所谓的 “免费” 奖品时,他们实际上是在点击你网站上的一个按钮,执行他们本来不打算的操作。
为什么点击劫持很危险
攻击者可以用点击劫持做什么?这在很大程度上取决于相关网站的功能。
攻击者可以让用户进入 点赞或分享攻击者的网站 在社交媒体上。这很容易实现,因为为了方便起见,许多人会保持登录社交媒体帐户。
如果可以将您的网站放置在框架中,则可以通过单击按钮来完成敏感操作,这可以充当攻击载体。例如,用户点击获取免费iPad,但却更改了您网站上的帐户设置以降低该帐户的安全性。发生了这种类型的攻击 Adobe Flash 插件设置页面。可以将设置放置在透明的框架中,诱使用户允许任何 Flash 动画访问麦克风和摄像头。然后,攻击者可以记录受害者;这是对隐私的重大侵犯。
电子邮件客户端可能被陷害到一个站点,导致用户删除其邮箱中的所有电子邮件或将电子邮件转发到攻击者控制的电子邮件地址。
最重要的是:用户看不到他们在点击什么,因此可以说服他们点击任何东西。无论是社交分享还是下载恶意软件,可能性都是巨大的。
如何击败点击劫持
可以防止点击劫持。这个 推荐的方式 防止点击劫持就是定义一个 内容安全政策,简称 CSP,用于您的网站。使用 “框架祖先” HTTP 响应标头,您可以控制如何构造您的网站。
- “frame-ancestors none'——不允许其他网站对你进行陷害。这是推荐的设置。
- “frame-ancestors self” ——您网站中的页面只能由网站内的其他页面构图。
- “框架祖先自我 <uri list="">-你的网站可以被URI列表中的网站构成,不能</uri>被其他网站构成。
目前,并非所有主流浏览器都支持 CSP 框架祖先。使用 “X-Frame-Options” HTTP 标头作为此类浏览器的备用选项。
- 拒绝-没有人可以构架你的网站。这是推荐的设置
- SAMEORIGIN-与 CSP 的 “自我” 相同。你可以构思自己的内容,但其他人不能。
- ALLOW-F <uri>ROM-允许指定的 URI 框架您的内容</uri>。
不要被点击劫持
点击劫持是一种巧妙的误导性攻击,如果你的产品可以被攻击者操纵,它可能会导致声誉损害和收入损失。 查看我们的免费学习资源 了解有关点击劫持的更多信息。
使用内容安全策略和 “X-Frame-Options” 标题来防止其他人以恶意方式使用您的网站。不要允许攻击者操纵你的用户。不要被点击劫持。
Jaap Karan Singh is a Secure Coding Evangelist, Chief Singh and co-founder of Secure Code Warrior.
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示
Jaap Karan Singh is a Secure Coding Evangelist, Chief Singh and co-founder of Secure Code Warrior.
Susie 打开她的电子邮件是为了逃避两天后到期的令人讨厌的报告。她看到收件箱中出现了免费iPad的链接。点击后,她进入了一个带有大横幅页面的网站,上面写着:“点击这里免费获得iPad!”。她点击了按钮,但似乎什么也没发生。问题是,确实发生了一些事情。
回到收件箱后,她意识到所有电子邮件都已删除。她甚至没有在其中任何一个上点击 “删除”。发生了什么?
该电子邮件网站被点击劫持。点击劫持会诱使用户执行他们本来不打算执行的操作,这可能会导致严重的问题。
现在让我们来看看点击劫持是如何工作的,为什么它很危险,以及像你这样的开发者可以做些什么来防止这种情况:
了解点击劫持
点击劫持,也称为 “用户界面修复攻击”,发生在攻击者使用网页上的多个透明层诱使用户点击用户不打算点击的按钮或链接时。
你曾经在车里遇到过虫子吗?他们疯狂地飞向窗户试图飞到外面。虫子的意图是飞向看起来像树木和露天的地方,却忘记玻璃挡住了它的路径。
点击劫持在设计上也类似,唯一的不同是用户是漏洞,而你的网站是挡路的玻璃。用户会看到他们想要的东西,例如免费的 iPhone。攻击者将您的网站放在免费iPhone广告顶部的透明框架内。当用户点击按钮获取所谓的 “免费” 奖品时,他们实际上是在点击你网站上的一个按钮,执行他们本来不打算的操作。
为什么点击劫持很危险
攻击者可以用点击劫持做什么?这在很大程度上取决于相关网站的功能。
攻击者可以让用户进入 点赞或分享攻击者的网站 在社交媒体上。这很容易实现,因为为了方便起见,许多人会保持登录社交媒体帐户。
如果可以将您的网站放置在框架中,则可以通过单击按钮来完成敏感操作,这可以充当攻击载体。例如,用户点击获取免费iPad,但却更改了您网站上的帐户设置以降低该帐户的安全性。发生了这种类型的攻击 Adobe Flash 插件设置页面。可以将设置放置在透明的框架中,诱使用户允许任何 Flash 动画访问麦克风和摄像头。然后,攻击者可以记录受害者;这是对隐私的重大侵犯。
电子邮件客户端可能被陷害到一个站点,导致用户删除其邮箱中的所有电子邮件或将电子邮件转发到攻击者控制的电子邮件地址。
最重要的是:用户看不到他们在点击什么,因此可以说服他们点击任何东西。无论是社交分享还是下载恶意软件,可能性都是巨大的。
如何击败点击劫持
可以防止点击劫持。这个 推荐的方式 防止点击劫持就是定义一个 内容安全政策,简称 CSP,用于您的网站。使用 “框架祖先” HTTP 响应标头,您可以控制如何构造您的网站。
- “frame-ancestors none'——不允许其他网站对你进行陷害。这是推荐的设置。
- “frame-ancestors self” ——您网站中的页面只能由网站内的其他页面构图。
- “框架祖先自我 <uri list="">-你的网站可以被URI列表中的网站构成,不能</uri>被其他网站构成。
目前,并非所有主流浏览器都支持 CSP 框架祖先。使用 “X-Frame-Options” HTTP 标头作为此类浏览器的备用选项。
- 拒绝-没有人可以构架你的网站。这是推荐的设置
- SAMEORIGIN-与 CSP 的 “自我” 相同。你可以构思自己的内容,但其他人不能。
- ALLOW-F <uri>ROM-允许指定的 URI 框架您的内容</uri>。
不要被点击劫持
点击劫持是一种巧妙的误导性攻击,如果你的产品可以被攻击者操纵,它可能会导致声誉损害和收入损失。 查看我们的免费学习资源 了解有关点击劫持的更多信息。
使用内容安全策略和 “X-Frame-Options” 标题来防止其他人以恶意方式使用您的网站。不要允许攻击者操纵你的用户。不要被点击劫持。
Susie 打开她的电子邮件是为了逃避两天后到期的令人讨厌的报告。她看到收件箱中出现了免费iPad的链接。点击后,她进入了一个带有大横幅页面的网站,上面写着:“点击这里免费获得iPad!”。她点击了按钮,但似乎什么也没发生。问题是,确实发生了一些事情。
回到收件箱后,她意识到所有电子邮件都已删除。她甚至没有在其中任何一个上点击 “删除”。发生了什么?
该电子邮件网站被点击劫持。点击劫持会诱使用户执行他们本来不打算执行的操作,这可能会导致严重的问题。
现在让我们来看看点击劫持是如何工作的,为什么它很危险,以及像你这样的开发者可以做些什么来防止这种情况:
了解点击劫持
点击劫持,也称为 “用户界面修复攻击”,发生在攻击者使用网页上的多个透明层诱使用户点击用户不打算点击的按钮或链接时。
你曾经在车里遇到过虫子吗?他们疯狂地飞向窗户试图飞到外面。虫子的意图是飞向看起来像树木和露天的地方,却忘记玻璃挡住了它的路径。
点击劫持在设计上也类似,唯一的不同是用户是漏洞,而你的网站是挡路的玻璃。用户会看到他们想要的东西,例如免费的 iPhone。攻击者将您的网站放在免费iPhone广告顶部的透明框架内。当用户点击按钮获取所谓的 “免费” 奖品时,他们实际上是在点击你网站上的一个按钮,执行他们本来不打算的操作。
为什么点击劫持很危险
攻击者可以用点击劫持做什么?这在很大程度上取决于相关网站的功能。
攻击者可以让用户进入 点赞或分享攻击者的网站 在社交媒体上。这很容易实现,因为为了方便起见,许多人会保持登录社交媒体帐户。
如果可以将您的网站放置在框架中,则可以通过单击按钮来完成敏感操作,这可以充当攻击载体。例如,用户点击获取免费iPad,但却更改了您网站上的帐户设置以降低该帐户的安全性。发生了这种类型的攻击 Adobe Flash 插件设置页面。可以将设置放置在透明的框架中,诱使用户允许任何 Flash 动画访问麦克风和摄像头。然后,攻击者可以记录受害者;这是对隐私的重大侵犯。
电子邮件客户端可能被陷害到一个站点,导致用户删除其邮箱中的所有电子邮件或将电子邮件转发到攻击者控制的电子邮件地址。
最重要的是:用户看不到他们在点击什么,因此可以说服他们点击任何东西。无论是社交分享还是下载恶意软件,可能性都是巨大的。
如何击败点击劫持
可以防止点击劫持。这个 推荐的方式 防止点击劫持就是定义一个 内容安全政策,简称 CSP,用于您的网站。使用 “框架祖先” HTTP 响应标头,您可以控制如何构造您的网站。
- “frame-ancestors none'——不允许其他网站对你进行陷害。这是推荐的设置。
- “frame-ancestors self” ——您网站中的页面只能由网站内的其他页面构图。
- “框架祖先自我 <uri list="">-你的网站可以被URI列表中的网站构成,不能</uri>被其他网站构成。
目前,并非所有主流浏览器都支持 CSP 框架祖先。使用 “X-Frame-Options” HTTP 标头作为此类浏览器的备用选项。
- 拒绝-没有人可以构架你的网站。这是推荐的设置
- SAMEORIGIN-与 CSP 的 “自我” 相同。你可以构思自己的内容,但其他人不能。
- ALLOW-F <uri>ROM-允许指定的 URI 框架您的内容</uri>。
不要被点击劫持
点击劫持是一种巧妙的误导性攻击,如果你的产品可以被攻击者操纵,它可能会导致声誉损害和收入损失。 查看我们的免费学习资源 了解有关点击劫持的更多信息。
使用内容安全策略和 “X-Frame-Options” 标题来防止其他人以恶意方式使用您的网站。不要允许攻击者操纵你的用户。不要被点击劫持。
Susie 打开她的电子邮件是为了逃避两天后到期的令人讨厌的报告。她看到收件箱中出现了免费iPad的链接。点击后,她进入了一个带有大横幅页面的网站,上面写着:“点击这里免费获得iPad!”。她点击了按钮,但似乎什么也没发生。问题是,确实发生了一些事情。
回到收件箱后,她意识到所有电子邮件都已删除。她甚至没有在其中任何一个上点击 “删除”。发生了什么?
该电子邮件网站被点击劫持。点击劫持会诱使用户执行他们本来不打算执行的操作,这可能会导致严重的问题。
现在让我们来看看点击劫持是如何工作的,为什么它很危险,以及像你这样的开发者可以做些什么来防止这种情况:
了解点击劫持
点击劫持,也称为 “用户界面修复攻击”,发生在攻击者使用网页上的多个透明层诱使用户点击用户不打算点击的按钮或链接时。
你曾经在车里遇到过虫子吗?他们疯狂地飞向窗户试图飞到外面。虫子的意图是飞向看起来像树木和露天的地方,却忘记玻璃挡住了它的路径。
点击劫持在设计上也类似,唯一的不同是用户是漏洞,而你的网站是挡路的玻璃。用户会看到他们想要的东西,例如免费的 iPhone。攻击者将您的网站放在免费iPhone广告顶部的透明框架内。当用户点击按钮获取所谓的 “免费” 奖品时,他们实际上是在点击你网站上的一个按钮,执行他们本来不打算的操作。
为什么点击劫持很危险
攻击者可以用点击劫持做什么?这在很大程度上取决于相关网站的功能。
攻击者可以让用户进入 点赞或分享攻击者的网站 在社交媒体上。这很容易实现,因为为了方便起见,许多人会保持登录社交媒体帐户。
如果可以将您的网站放置在框架中,则可以通过单击按钮来完成敏感操作,这可以充当攻击载体。例如,用户点击获取免费iPad,但却更改了您网站上的帐户设置以降低该帐户的安全性。发生了这种类型的攻击 Adobe Flash 插件设置页面。可以将设置放置在透明的框架中,诱使用户允许任何 Flash 动画访问麦克风和摄像头。然后,攻击者可以记录受害者;这是对隐私的重大侵犯。
电子邮件客户端可能被陷害到一个站点,导致用户删除其邮箱中的所有电子邮件或将电子邮件转发到攻击者控制的电子邮件地址。
最重要的是:用户看不到他们在点击什么,因此可以说服他们点击任何东西。无论是社交分享还是下载恶意软件,可能性都是巨大的。
如何击败点击劫持
可以防止点击劫持。这个 推荐的方式 防止点击劫持就是定义一个 内容安全政策,简称 CSP,用于您的网站。使用 “框架祖先” HTTP 响应标头,您可以控制如何构造您的网站。
- “frame-ancestors none'——不允许其他网站对你进行陷害。这是推荐的设置。
- “frame-ancestors self” ——您网站中的页面只能由网站内的其他页面构图。
- “框架祖先自我 <uri list="">-你的网站可以被URI列表中的网站构成,不能</uri>被其他网站构成。
目前,并非所有主流浏览器都支持 CSP 框架祖先。使用 “X-Frame-Options” HTTP 标头作为此类浏览器的备用选项。
- 拒绝-没有人可以构架你的网站。这是推荐的设置
- SAMEORIGIN-与 CSP 的 “自我” 相同。你可以构思自己的内容,但其他人不能。
- ALLOW-F <uri>ROM-允许指定的 URI 框架您的内容</uri>。
不要被点击劫持
点击劫持是一种巧妙的误导性攻击,如果你的产品可以被攻击者操纵,它可能会导致声誉损害和收入损失。 查看我们的免费学习资源 了解有关点击劫持的更多信息。
使用内容安全策略和 “X-Frame-Options” 标题来防止其他人以恶意方式使用您的网站。不要允许攻击者操纵你的用户。不要被点击劫持。
帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
