除了先前提到的 clickjacking 攻擊 - 透過隱藏 or 調整透明度並疊加元素
來誘騙使用者的方式外,還有其他很多種形式,以下簡單介紹幾種形式:
以下攻擊方式會透過各種插入元素(or 疊加元素)的方式誘使使用者誤觸元素
:
點擊事件丟棄 (Click Event Dropping)
攻擊者將 CSS point-events
屬性設為 none
,這表示點擊似乎不會在頁面上執行任何操作。
但在實際上,點擊是在下面的惡意頁面上進行的。
內容快速變換 (Rapid Content Replacement)
覆蓋層被覆蓋,移除幾分之一秒以記錄點擊,然後立即替換。在這種情況下,用戶可能不會注意到他們正在單擊可能是惡意的按鈕或鏈接,因為該對象消失得如此之快。
捲動
攻擊者會建立一個合法的對話框或彈出窗口,其中的按鈕部分位於螢幕之外。這些按鈕會轉到下面的惡意網頁,但該框顯示為無害的提示。
重新定位
這是一種快速內容替換攻擊,其中網路攻擊者快速移動受信任的使用者介面 (UI) 元素,而使用者則專注於網頁的另一部分。這個想法是讓受害者無意中點擊移動的元素
,而不是專注於閱讀、滾動或點擊頁面上的其他內容。
Drag and Drop不只是點擊,受害者需要填寫表格或執行其他操作。
網路表單可能看起來與合法頁面的表單相似,但當使用者填寫欄位時,網路攻擊者會透過下面的惡意頁面擷取資料。
與任何網路攻擊一樣,其目標是在受害者不知情
的情況下獲取個人或敏感資訊。
除了先前提及的 CSP、X-Frame-Options 等設定外,我們還有其他方式可以防禦:
今天補班日,回家的時候發現自己已經累到癱掉,所以今天只有簡單研究了一下各種有可能的 clickjacking 攻擊方式,透過了解多一些 clickjacking 的攻擊方式,算是讓我對於 clickjacking 有更深一層認識了XD 明天繼續研究跟 CSS 相關的攻擊 gogo~