梨子带你刷burpsuite靶场系列之客户端漏洞篇点击劫持专题

得到准确的尺寸以后我们就可以构造payload了

然后将其存储到Exploit Server，当受害者接收到投放的页面以后就会因为点击劫持删除指定用户，这里要注意的是，千万不要自己点，因为删除操作只能执行一次，如果误删了，要等当前的靶场环境过期了才能再次开启靶场，而且靶场过期的时间是大约20分钟，burp并没有给出具体过期时间，这将是非常漫长的等待。

使用预填充表单输入的点击劫持

有的站点允许通过GET参数的方式预填充表单，而不需要用户再手动输入，搭配上点击劫持就会当用户提交表单时提交预填充的表单。

配套靶场：使用从URL参数预填充的表单输入数据的点击劫持

这道靶场的利用方式与上面类似，只需要将iframe的src替换成带有参数值的URL即可

这个位置和标准答案肯定会有出入的，需要不断调，切记不要真的点击，看看位置就好了

破坏框架脚本

从前面我们了解到，只要可以框架化的站点都可能遭受点击劫持攻击。所以我们需要编写脚本去打破这些框架。可以通过JS附加组件或者扩展程序(如NoScript)实现。这些脚本需要实现下面功能。

• 检查并强制将当前应用程序窗口设置为主窗口或顶级窗口


• 让所有框架不透明化


• 阻止点击透明的框架


• 拦截并标记潜在的点击劫持攻击位置

但是这种技术是特定于浏览器和平台的，而且因为HTML比较灵活，攻击者有很多方法来绕过。并且有的浏览器阻止运行破坏框架脚本或者不支持运行JS脚本。攻击者采用HTML5的iframe沙箱属性来绕过破坏框架脚本。

这个脚本会检查该页面是不是最顶层，如果不是就返回false。所以我们要利用前面提到的方法绕过这个脚本的检测。

这样我们又可以发动点击劫持攻击了。


结合点击劫持和DOM XSS的攻击

这是一种利用DOM XSS和iframe技术结合起来的攻击方式。在iframe的点击劫持中附加DOM XSS的payload，当受害者点击时即可同时触发DOM XSS。


配套靶场：利用点击劫持漏洞触发DOM XSS

我们要找一下有没有相关DOM的操作，发现一个JS脚本(/resources/js/submitFeedback.js)，我们看看里面有什么有价值的东西。

发现这里存在DOM XSS漏洞点，于是我们利用点击劫持将DOM XSS payload预填充到name框中

这样就可以利用点击劫持触发DOM XSS了


多重点击劫持

有的时候，需要诱导用户点击多处隐藏的按钮或者链接才能成功实现恶意的目的。下面我们通过一道靶场来讲解。


配套靶场：多重点击劫持

因为要点击两个地方才可以，所以我们的payload也是要设置两个透明的按钮

这两个按钮的位置也是要自己开启标尺以后调的，非常方便。


如何缓解点击劫持攻击？

burp介绍了两种从服务器端缓解点击劫持攻击的方法，具体能不能有效实施还要看浏览器层面。


X-Frame-Options

一开始这个标头被用于IE8的非官方响应头使用的，后面被各浏览器采用。我们通过设置值来限制框架化操作。例如
X-Frame-Options: deny
上面这条表示拒绝任何框架化操作，但是也可以限制框架化的来源为同源。
X-Frame-Options: sameorigin
也可以设置为指定源
X-Frame-Options: allow-from https://normal-website.com
如果将该响应头与CSP结合使用，效果更佳。


内容安全策略(CSP)

XSS篇我们介绍过CSP，我们也可以使用CSP来缓解点击劫持攻击。例如
Content-Security-Policy: frame-ancestors 'self';
这条与X-Frame-Options: sameorigin效果类似，也可以设置为指定源。
Content-Security-Policy: frame-ancestors normal-website.com;

总结

以上就是梨子带你刷burpsuite官方网络安全学院靶场(练兵场)系列之客户端漏洞篇 – 点击劫持专题的全部内容啦，本专题主要讲了点击劫持漏洞的形成原理、利用、防护、绕过防护等，感兴趣的同学可以在评论区进行讨论，嘻嘻嘻。