【wepro 小教室】點擊劫持

    點擊劫持(Clickjacking)即係將惡意程式隱藏喺睇落去正常嘅網頁入面,誘騙瀏覽者點擊相關隱藏嘅內容,其目的多數係令受害人下載惡意軟件、導向至惡意網頁、偷取憑證、網上轉帳、網上購物等,又被稱為界面偽裝攻擊(UI Redress Attack)。

    攻擊者多數使用一個透明 iframe(iframe 係 HTML 標準中嘅一個標籤),並將佢覆蓋喺網頁上,然後誘使用戶在該頁面上進行操作,用戶喺唔知情下點擊透明 iframe 頁面,就會載入目標網頁,觸發執行惡意網頁的命令。簡單嚟講,就係你期待睇 A,但點擊入去之後佢就畀 B 你,掛羊頭賣狗肉,好似想睇戲但點知畀人帶咗去購物咁。