點擊劫持是一種誘騙用戶點擊不可見或偽裝成其他元素的網(wǎng)頁元素的攻擊。這可能會導(dǎo)致用戶無意中下載惡意軟件、訪問惡意網(wǎng)頁、提供憑據(jù)或敏感信息、轉(zhuǎn)賬或在線購買產(chǎn)品。

通常，點擊劫持是通過在用戶看到的頁面頂部的 iframe 內(nèi)顯示一個不可見的頁面或 HTML 元素來執(zhí)行的。用戶認(rèn)為他們點擊的是可見頁面，但實際上他們點擊的是移調(diào)到其頂部的附加頁面中的不可見元素。

不可見頁面可能是惡意頁面，也可能是用戶不打算訪問的合法頁面——例如，用戶銀行網(wǎng)站上授權(quán)轉(zhuǎn)賬的頁面。

點擊劫持攻擊有多種變體，例如：

• Likejacking??– 一種操縱 Facebook“喜歡”按鈕的技術(shù)，導(dǎo)致用戶“喜歡”他們實際上不打算喜歡的頁面。
• Cursorjacking??– 一種 UI 修復(fù)技術(shù)，可將用戶感知到的位置的光標(biāo)更改為另一個位置。Cursorjacking 依賴于 Flash 和 Firefox 瀏覽器中的漏洞，這些漏洞現(xiàn)已修復(fù)。

點擊劫持攻擊示例

1. 攻擊者創(chuàng)建了一個有吸引力的頁面，承諾為用戶提供免費(fèi)的塔希提島之旅。
2. 在后臺，攻擊者檢查用戶是否登錄到他的銀行站點，如果是，則加載啟用資金轉(zhuǎn)移的屏幕，使用查詢參數(shù)將攻擊者的銀行詳細(xì)信息插入表單。
3. 銀行轉(zhuǎn)賬頁面顯示在免費(fèi)禮物頁面上方的一個不可見的 iframe 中，“確認(rèn)轉(zhuǎn)賬”按鈕與用戶可見的“接收禮物”按鈕完全對齊。
4. 用戶訪問該頁面并單擊“Book My Free Trip”按鈕。
5. 實際上，用戶點擊了不可見的 iframe，并點擊了“Confirm Transfer”按鈕。資金轉(zhuǎn)移給攻擊者。
6. 用戶被重定向到包含免費(fèi)禮物信息的頁面（不知道后臺發(fā)生了什么）。

此示例說明，在點擊劫持攻擊中，無法將惡意操作（在本例中是在銀行網(wǎng)站上）追溯到攻擊者，因為用戶是在合法登錄自己的帳戶的情況下執(zhí)行的。

點擊劫持緩解

防御點擊劫持的一般方法有兩種：

• 客戶端方法?——最常見的方法稱為 Frame Busting?？蛻舳朔椒ㄔ谀承┣闆r下可能有效，但被認(rèn)為不是最佳實踐，因為它們很容易被繞過。
• 服務(wù)器端方法?——最常見的是 X-Frame-Options。服務(wù)器端方法被安全專家推薦為防御點擊劫持的有效方法。

使用 X-Frame-Options 響應(yīng)標(biāo)頭減輕點擊劫持

X-Frame-Options 響應(yīng)標(biāo)頭作為網(wǎng)頁 HTTP 響應(yīng)的一部分傳遞，指示是否應(yīng)允許瀏覽器在 <FRAME> 或 <IFRAME> 標(biāo)記內(nèi)呈現(xiàn)頁面。

X-Frame-Options 標(biāo)頭允許三個值：

• DENY??– 不允許任何域在框架內(nèi)顯示此頁面
• SAMEORIGIN??– 允許當(dāng)前頁面顯示在另一個頁面的框架中，但僅限于當(dāng)前域
• ALLOW-FROM URI——?允許當(dāng)前頁面顯示在框架中，但僅限于特定的 URI——例如?www.example.com/frame-page

使用 SAMEORIGIN 選項來防御點擊劫持

X-Frame-Options 允許內(nèi)容發(fā)布者防止他們自己的內(nèi)容被攻擊者在不可見的框架中使用。DENY 選項是最安全的，它可以防止在框架中使用當(dāng)前頁面。更常見的是，使用 SAMEORIGIN，因為它確實允許使用框架，但將它們限制在當(dāng)前域內(nèi)。

X-Frame-Options 的局限性

• 要跨網(wǎng)站啟用 SAMEORIGIN 選項，X-Frame-Options 標(biāo)頭需要作為每個單獨(dú)頁面的 HTTP 響應(yīng)的一部分返回（不能跨站點應(yīng)用）。
• X-Frame-Options 不支持允許域的白名單，因此它不適用于需要在它們之間顯示框架內(nèi)容的多域站點。
• 單個頁面上只能使用一個選項，因此，例如，同一頁面不可能在當(dāng)前網(wǎng)站和外部網(wǎng)站上都顯示為框架。
• 并非所有瀏覽器都支持 ALLOW-FROM 選項。
• X-Frame-Options 在大多數(shù)瀏覽器中都是不推薦使用的選項。

點擊劫持測試——您的網(wǎng)站易受攻擊嗎？

測試您的網(wǎng)站是否容易受到點擊劫持的基本方法是創(chuàng)建一個 HTML 頁面并嘗試將您網(wǎng)站的敏感頁面包含在 iframe 中。在另一臺 Web 服務(wù)器上執(zhí)行測試代碼很重要，因為這是點擊劫持攻擊中的典型行為。

使用如下代碼，作為?OWASP 測試指南的一部分提供：

<html>
<頭>
<title>點擊劫持測試頁面</title>
</頭>
<正文>
<p>網(wǎng)站容易受到點擊劫持！</p>
<iframe src="http://www.yoursite.com/sensitive-page" width="500" height="500"></iframe>
</body>
</html>

在瀏覽器中查看 HTML 頁面并對頁面進(jìn)行評估，如下所示：

• 如果出現(xiàn)“網(wǎng)站容易受到點擊劫持”的文本，并且在其下方看到敏感頁面的內(nèi)容，?則該頁面容易受到點擊劫持。
• 如果只出現(xiàn)“網(wǎng)站容易受到點擊劫持”的文本，而您沒有看到敏感頁面的內(nèi)容，則該頁面不會受到最簡單形式的點擊劫持。

但是，還需要額外的測試來查看頁面上使用了哪些反點擊劫持方法，以及它們是否可以被攻擊者繞過。