0
点赞
收藏
分享

微信扫一扫

安全-点击劫持漏洞复现

文章目录

前言

一、环境

phpstudy 1

phpstorm

二、漏洞复现

<html>
    <head>
        <title>测试页面</title>
        <style>
            .btn{/*按钮的属性*/
                position: absolute;/*绝对位置放置按钮*/
                width: 200px;
                height: 100px;
                left: 40%;/*按钮横轴位置*/
                top: 50%;/*按钮纵轴位置*/
            }
        </style>
    </head>

    <body>
    <button class="btn" onclick="alert('登录')">登录</button>
    </body>
</html>

在这里插入图片描述

在这里插入图片描述

<!DOCTYPE html>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <!--设置为UTF8编码-->
<html>
    <title>点击劫持</title>
    <head>
        <style>
            .real{/*真实网页*/
                position: absolute;/*绝对位置*/
                width: 100%;
                height: 100%;
            }
            .btn{/*按钮*/
                opacity: 0.5;/*透明度*/
                position: absolute;/*绝对位置*/
                width: 250px;
                height: 100px;
                left: 500px;/*按钮横轴位置*/
                top: 300px;/*按钮纵轴位置*/
            }
        </style>
    </head>
    <body>
    <iframe class="real" src="http://127.0.0.1/index.php"></iframe>
    <button class="btn" onclick="alert('点击劫持')"></button>
    </body>
</html>

在这里插入图片描述

<!DOCTYPE html>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <!--设置为UTF8编码-->
<html>
    <title>点击劫持</title>
    <head>
        <style>
            .real{/*真实网页*/
                position: absolute;/*绝对位置*/
                width: 100%;
                height: 100%;
            }
            .btn{/*按钮*/
                opacity: 0;/*透明度*/
                position: absolute;/*绝对位置*/
                width: 250px;
                height: 100px;
                left: 500px;/*按钮横轴位置*/
                top: 300px;/*按钮纵轴位置*/
            }
        </style>
    </head>
    <body>
    <iframe class="real" src="http://127.0.0.1/index.php"></iframe>
    <button class="btn" onclick="alert('点击劫持')"></button>
    </body>
</html>

在这里插入图片描述
在这里插入图片描述

三、漏洞修复

介绍
DENY禁止iframe嵌套
SAMEORIGIN仅同源域嵌套
<?php
    header("X-Frame-Options: deny");
?>
<html>
    <head>
        <title>测试页面</title>
        <style>
            .btn{/*按钮的属性*/
                position: absolute;/*绝对位置放置按钮*/
                width: 200px;
                height: 100px;
                left: 40%;/*按钮横轴位置*/
                top: 50%;/*按钮纵轴位置*/
            }
        </style>
    </head>
    <body>
    <?php header("X-Frame-Options: deny");?>
    <button class="btn" onclick="alert('登录')">登录</button>
    </body>
</html>

在这里插入图片描述

在这里插入图片描述


  1. phpstudy仅需要开启apache或nginx即可 ↩︎

举报

相关推荐

0 条评论