界面操作劫持是一种利用视觉欺骗进行的攻击,包括点击劫持和拖放劫持。攻击者通过在正常输入框上覆盖不可见元素,诱使用户在不知情的情况下执行非预期操作,可能导致敏感信息泄露或数据丢失。例如,使用CSS属性(如filter:alpha(opacity=0); opacity:0; z-index:100;)创建浮在最上层且透明的iframe来实现这一目的。
界面操作劫持的分类:—从用户操作行为分类
1)点击劫持—在用户点击时发生的劫持攻击事件
2)拖放劫持—在用户拖动操作时发生的劫持攻击事件
界面操作劫持是利用视觉欺骗,诱导用户操作。比如在可见的输入框中覆盖一个不可见的框(如一个不可见的iframe),用户点击输入框时,其实是点击了不可见框中的内容,从而让用户做出了一些非自己意愿的操作。这些操作有可能造成了用户敏感信息的泄露、数据丢失等后果
实现不可见且浮在最上层的iframe窗口
filter:alpha(opacity=0);
opacity:0;
z-index: 100;
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
