Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1198821
  • 博文数量: 272
  • 博客积分: 3899
  • 博客等级: 中校
  • 技术积分: 4734
  • 用 户 组: 普通用户
  • 注册时间: 2012-06-15 14:53
文章分类

全部博文(272)

文章存档

2012年(272)

分类: 网络与安全

2012-06-25 15:42:36

刚从青海回来,看到了一些Clickjacking的文章和,如果demo正确的话。

Clickjacking
XSIO原理差不多,不过这个是弄个iframe设置为透明,然后用style控制别的元素的位置(z-index),比如伪造一个button

这样当伪造的button漂浮在透明的iframe上时候,让人点击button,实际上就是点击了iframe里的那个链接。

所以当iframe指向某个网站时候,就可以欺骗用户去点击该网站里链接,所以anti-CSRF常常使用的token也会变得无效,因为这是用户自己的行为。

所以从另外一个角度来说,XSIO也是一种clickjacking,图片同样可以设置为透明。不过XSIO所无法达到的效果就是不能得到anti-CSRFtoken

在使用clickjacking的时候要记住IEiframe是拦截本地cookie的,所以需要使用session cookie来达到CSRF的目的。

阅读(1180) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~