支持拖放的“点击劫持漏洞”利用开发辅助工具:CJExploiter

CJExploiter是一个支持拖放的点击劫持漏洞利用开发辅助工具。首先在本地用浏览器打开“index.html”,输入目标的URL并点击“View Site”。你可以动态创建自己的输入,最后点击“Exploit it”,你就能得到POC了。

支持拖放的“点击劫持漏洞”利用开发辅助工具:CJExploiter

点击劫持(Clickjacking),又被称为“UI-覆盖攻击”,是指,攻击者使用多个透明或不透明的图层,当用户想要点击最顶层的页面时,欺骗用户点击其它页面上的按钮或者链接。这样,攻击者“劫持”了点击他们自己页面的打算,并将之转到另外一个页面,这个页面一般是另外一个程序或域名拥有的。

使用相同的技术,按键也可以被劫持。通过巧妙构造样式表,iframes以及文本框,可以让用户相信他们在给自己的邮箱或银行账户输入密码,但是实际上是输入给了黑客控制的不可见的iframe。 OWASP

你可以用这个工具生成动态的POC。

翻译自: https://github.com/enddo/CJExploiter

原文  http://www.freebuf.com/sectool/104892.html

本站部分文章源于互联网,本着传播知识、有益学习和研究的目的进行的转载,为网友免费提供。如有著作权人或出版方提出异议,本站将立即删除。如果您对文章转载有任何疑问请告之我们,以便我们及时纠正。

PS:推荐一个微信公众号: askHarries 或者qq群:474807195,里面会分享一些资深架构师录制的视频录像:有Spring,MyBatis,Netty源码分析,高并发、高性能、分布式、微服务架构的原理,JVM性能优化这些成为架构师必备的知识体系。还能领取免费的学习资源,目前受益良多

转载请注明原文出处:Harries Blog™ » 支持拖放的“点击劫持漏洞”利用开发辅助工具:CJExploiter

赞 (0)
分享到:更多 ()

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址