支持拖放的“点击劫持漏洞”利用开发辅助工具:CJExploiter
CJExploiter是一个支持拖放的点击劫持漏洞利用开发辅助工具。首先在本地用浏览器打开“index.html”,输入目标的URL并点击“View Site”。你可以动态创建自己的输入,最后点击“Exploit it”,你就能得到POC了。
点击劫持(Clickjacking),又被称为“UI-覆盖攻击”,是指,攻击者使用多个透明或不透明的图层,当用户想要点击最顶层的页面时,欺骗用户点击其它页面上的按钮或者链接。这样,攻击者“劫持”了点击他们自己页面的打算,并将之转到另外一个页面,这个页面一般是另外一个程序或域名拥有的。
使用相同的技术,按键也可以被劫持。通过巧妙构造样式表,iframes以及文本框,可以让用户相信他们在给自己的邮箱或银行账户输入密码,但是实际上是输入给了黑客控制的不可见的iframe。 OWASP
你可以用这个工具生成动态的POC。
翻译自: https://github.com/enddo/CJExploiter
正文到此结束
热门推荐
相关文章
近期评论
-
你这基本没有更新呀,最近文章显示还是2019年的文章。不符合要求哈
-
关键词:慕云博客 链接:https://www.lilun.me 描述:分享原创文字的个人博客
-
-
-
可以提供一下源码吗
-
不是商业站,鸡娃学习笔记
-
-
-
-
听他们说很厉害的样子
Loading...
![[HBLOG]公众号](http://www.liuhaihua.cn/img/qrcode_gzh.jpg)
