一种有趣的安全隐患——界面劫持

2017-02-28 21:28:25 +08:00
 kindjeff
这是一个演示链接: https://www.kindjeff.com/static/for_fun/v2ex_0.html

在这个链接里点击按钮之后,再来看我的 V2EX 主页: https://www.v2ex.com/member/kindjeff

会发现特别关注了我。思路很简单但是很有效。
7422 次点击
所在节点    V2EX
58 条回复
eastpiger
2017-02-28 21:30:18 +08:00
看起来很厉害的样子。

除了我并没有发现特别关注了你呢
isCyan
2017-02-28 21:34:13 +08:00
劫持失败?
shiny
2017-02-28 21:34:41 +08:00
报错了:[Error] Blocked a frame with origin "https://www.v2ex.com" from accessing a frame with origin "https://www.kindjeff.com". Protocols, domains, and ports must match.
mythabc
2017-02-28 21:38:10 +08:00
iframe 233
binux
2017-02-28 21:39:06 +08:00
kankana
2017-02-28 21:40:52 +08:00
clickjacking?
acmetal
2017-02-28 21:47:53 +08:00
V2 应该本来就有防止被 iframe 的 js ,只不过。。。。

kindjeff
2017-02-28 21:48:13 +08:00
@binux 不是的, V2EX 的特别关注链接后面的 t 参数需要是点击者的注册日期~界面劫持其实比这个更简单。
kindjeff
2017-02-28 21:49:02 +08:00
@acmetal 浏览器不错, 23333 。我的 chrome 和同学的 edge 都是一片白。
wjm2038
2017-02-28 22:07:10 +08:00
失败了
Mutoo
2017-02-28 22:10:51 +08:00
Anything with <frame> and <iframe>. A site can use the X-Frame-Options header to prevent this form of cross-origin interaction.
https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy
also24
2017-02-28 22:13:24 +08:00


hhhhh 这很机智
kindjeff
2017-02-28 22:18:31 +08:00
之后失败的各位可以回复一下浏览器版本号。以及分辨率……
成功的也可以回一下。
nanpuyue
2017-02-28 22:19:30 +08:00
有意思。
imlonghao673
2017-02-28 22:29:07 +08:00
clickhijacking
几年前看过用来做吸粉的
whoops
2017-02-28 22:31:25 +08:00
@kindjeff chrome 版本 58.0.3018.3 (正式版本) unknown ( 64 位)
3653x2400
xxxoooooxx
2017-02-28 22:32:14 +08:00
chrome 阻止了第三方 cookie ,没反应
oott123
2017-02-28 22:33:35 +08:00
Coxxs
2017-02-28 22:38:17 +08:00
Clickjacking
terence4444
2017-02-28 22:40:18 +08:00
Firefox 无效,本来以为是我用了防跨站的 RequestPolicy ,后来把这个插件关了也是一样的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/343894

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX