点击劫持的本质是一种视觉欺骗。顺着这个思路,还有一些攻击方法也可以起到类似的作 用,比如图片覆盖。
一名叫 sven.vetsch 的安全研究者最先提出了这种 Cross Site Image Overlaying 攻击,简称 XSIO。sven.vetsch 通过调整图片的 style 使得图片能够覆盖在他所指定的任意位置。
<a href="http://disenchant.ch">
<img src=http://disenchant.ch/powered.jpg
style=position:absolute;right:320px;top:90px;/>
</a> 如下所示,覆盖前的页面是:
覆盖后的页面变成:
页面里的 logo 图片被覆盖了,并指向了 sven.vetsch 的网站。如果用户此时再去点击 logo 图片,则会被链接到 sven.vetsch 的网站。如果这是一个钓鱼网站的话,用户很可能会上当。
XSIO 不同于 XSS,它利用的是图片的 style,或者能够控制 CSS。如果应用没有限制 style 的 position 为 absolute 的话,图片就可以覆盖到页面上的任意位置,形成点击劫持。
百度空间也曾经出现过这个问题1 ,构造代码如下:
一张头像图片被覆盖到 logo 处:
点击此图片的话,会被链接到其他网站。
图片还可以伪装得像一个正常的链接、按钮;或者在图片中构造一些文字,覆盖在关键的 位置,就有可能完全改变页面中想表达的意思,在这种情况下,不需要用户点击,也能达到欺 骗的目的。
比如,利用 XSIO 修改页面中的联系电话,可能会导致很多用户上当。
由于标签在很多系统中是对用户开放的,因此在现实中有非常多的站点存在被 XSIO 攻击的可能。在防御 XSIO 时,需要检查用户提交的 HTML 代码中,标签的 style 属性是 否可能导致浮出。
标签:style,XSIO,覆盖,攻击,vetsch,图片,页面 From: https://blog.csdn.net/A526847/article/details/139902117