【wepro 小教室】點擊劫持
點擊劫持(Clickjacking)就係將惡意程式,隱藏喺睇落去正常嘅網頁入面,誘騙瀏覽者點擊相關隱藏內容,目的多數係令受害人下載惡意軟件、導向至惡意網頁、偷取憑證、網上轉帳或購物等,又被稱為界面偽裝攻擊(UI Redress Attack)。
攻擊者多數使用一個透明 iframe(iframe 係 HTML 標準中嘅一個標籤),並將佢覆蓋喺網頁上,然後誘使用戶喺該頁面上操作,用戶不知情下點擊透明 iframe 頁面,就會載入目標網頁,觸發執行惡意網頁嘅命令。簡單嚟講,就係你期待睇 A,但點擊入去之後佢就畀 B 你,掛羊頭賣狗肉,好似想睇戲,但點知畀人帶咗去購物咁。