【wepro 小教室】點擊劫持

點擊劫持（Clickjacking）就係將惡意程式，隱藏喺睇落去正常嘅網頁入面，誘騙瀏覽者點擊相關隱藏內容，目的多數係令受害人下載惡意軟件、導向至惡意網頁、偷取憑證、網上轉帳或購物等，又被稱為界面偽裝攻擊（UI Redress Attack）。

攻擊者多數使用一個透明 iframe（iframe 係 HTML 標準中嘅一個標籤），並將佢覆蓋喺網頁上，然後誘使用戶喺該頁面上操作，用戶不知情下點擊透明 iframe 頁面，就會載入目標網頁，觸發執行惡意網頁嘅命令。簡單嚟講，就係你期待睇 A，但點擊入去之後佢就畀 B 你，掛羊頭賣狗肉，好似想睇戲，但點知畀人帶咗去購物咁。