-
-
支持拖放的“点击劫持漏洞”利用工具:CJExploiter
-
发表于: 2016-5-22 17:51
-
新闻链接:9aeK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6J5k6h3g2T1N6h3k6Q4x3X3g2U0L8$3#2Q4x3V1k6K6k6h3y4@1L8$3!0D9i4K6u0r3x3e0l9@1z5o6V1J5i4K6u0W2K9s2c8E0L8l9`.`.
新闻时间:2016-05-21
新闻正文:
CJExploiter是一个支持拖放的点击劫持漏洞利用辅助工具。首先在本地用浏览器打开“index.html”,输入目标的URL并点击“View Site”。你可以自定义JS,最后点击“Exploit it”,你就能得到POC了。
点击劫持(Clickjacking),又被称为“UI-覆盖攻击”,是指,攻击者使用多个透明或不透明的图层,当用户想要点击最顶层的页面时,欺骗用户点击其它页面上的按钮或者链接。
使用相同的技术,按键也可以被劫持。通过巧妙构造CSS样式,iframes以及文本框,可以让用户相信他们在给自己的邮箱或银行账户输入密码,但是实际上是输入给了黑客控制的不可见的iframe。OWASP
你可以用这个工具生成动态的POC。
*本文译者felix,翻译自:569K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6W2L8X3c8V1L8#2)9J5c8V1y4v1c8i4S2H3L8r3!0A6N6r3g2J5
新闻时间:2016-05-21
新闻正文:
CJExploiter是一个支持拖放的点击劫持漏洞利用辅助工具。首先在本地用浏览器打开“index.html”,输入目标的URL并点击“View Site”。你可以自定义JS,最后点击“Exploit it”,你就能得到POC了。
点击劫持(Clickjacking),又被称为“UI-覆盖攻击”,是指,攻击者使用多个透明或不透明的图层,当用户想要点击最顶层的页面时,欺骗用户点击其它页面上的按钮或者链接。
使用相同的技术,按键也可以被劫持。通过巧妙构造CSS样式,iframes以及文本框,可以让用户相信他们在给自己的邮箱或银行账户输入密码,但是实际上是输入给了黑客控制的不可见的iframe。OWASP
你可以用这个工具生成动态的POC。
*本文译者felix,翻译自:569K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6W2L8X3c8V1L8#2)9J5c8V1y4v1c8i4S2H3L8r3!0A6N6r3g2J5
