首页
社区
课程
招聘
支持拖放的“点击劫持漏洞”利用工具:CJExploiter
发表于: 2016-5-22 17:51 2359

支持拖放的“点击劫持漏洞”利用工具:CJExploiter

2016-5-22 17:51
2359
新闻链接:http://www.freebuf.com/sectool/104892.html
   新闻时间:2016-05-21
   新闻正文:
CJExploiter是一个支持拖放的点击劫持漏洞利用辅助工具。首先在本地用浏览器打开“index.html”,输入目标的URL并点击“View Site”。你可以自定义JS,最后点击“Exploit it”,你就能得到POC了。

    点击劫持(Clickjacking),又被称为“UI-覆盖攻击”,是指,攻击者使用多个透明或不透明的图层,当用户想要点击最顶层的页面时,欺骗用户点击其它页面上的按钮或者链接。

使用相同的技术,按键也可以被劫持。通过巧妙构造CSS样式,iframes以及文本框,可以让用户相信他们在给自己的邮箱或银行账户输入密码,但是实际上是输入给了黑客控制的不可见的iframe。OWASP

你可以用这个工具生成动态的POC。
*本文译者felix,翻译自:https://github.com/enddo/CJExploiter

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
求一位精通电脑的高手,可以劫持域名
2017-3-18 23:05
0
游客
登录 | 注册 方可回帖
返回
//