 描述
敌人诱使受害者在不知情的情况下启动一些行动在一个系统与用户界面交互从一个看似完全不同,通常敌人控制或目的,系统。
扩展描述
虽然被登录一些目标系统,受害者访问对手的恶意网站显示一个UI,受害者希望相互作用。在现实中,clickjacked页面上面有一层透明可见的UI与行动控制敌人的愿望要执行的受害者。受害者点击页面上的按钮或其他UI元素他们看到实际上触发行动控制在透明的覆盖层。取决于对手动作控制是什么,可能只是哄骗受害者执行一些潜在的特权(当然最不受欢迎的)功能在目标系统的受害者身份验证。这里的基本问题是,之间有一个二分法受害者认为他们点击和点击。
攻击的可能性
典型的严重性
的关系
 此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
| 自然 |
类型 |
ID |
的名字 |
| ChildOf |
 元在CAPEC攻击模式——元级别攻击模式的量化无疑是一个抽象的描述一个特定的方法或技术用于攻击。元攻击模式往往是空虚的一个特定的技术或实现,旨在提供一个高水平的理解方法。元级攻击模式是一个泛化的攻击模式相关的标准水平。元级攻击模式尤其适用于架构和设计水平的威胁建模练习。 |
173年 |
行动欺骗 |
| ParentOf |
 详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
181年 |
Flash文件覆盖 |
| ParentOf |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
222年 |
iFrame覆盖 |
| ParentOf |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
587年 |
跨帧脚本(XFS) |
此表显示了这种攻击模式的观点属于和顶级类别内的这一观点。
执行流程
实验
起草一份“点击劫持”页面:敌人利用web页面分层技术工艺恶意“点击劫持”页面
| 技术 |
| 对手杠杆iframe叠加功能工艺恶意“点击劫持”页面 |
| 敌人利用Flash文件覆盖能力工艺恶意“点击劫持”页面 |
| 对手杠杆Silverlight叠加功能工艺恶意“点击劫持”页面 |
| 敌人杠杆的满足于脚本起草一个恶意的“点击劫持”页面 |
利用
“点击劫持”页面对手引诱受害者:对手利用某种形式的诱惑,误导或强迫吸引受害者加载和与“点击劫持”页面交互的方式增加了受害人点击机会在正确的领域。
| 技术 |
| 诱惑受害者受害者恶意网站通过发送电子邮件的URL。 |
| 引诱受害者恶意网站通过操纵url在网站可信的受害者。 |
| 诱惑受害者恶意网站通过跨站点脚本攻击。 |
诱骗受害者与“点击劫持”交互页面所需的方式:对手的技巧UI的受害者为点击区域含有隐藏的动作控制,从而与目标系统恶意与受害者的特权。
| 技术 |
| 隐藏行动控制非常常用的功能。 |
| 隐藏行动控制非常诱人的心理内容。 |
先决条件
| 受害人是与目标应用程序通过一个基于web的UI和不是一个瘦客户机 |
| 受害者的浏览器安全策略允许下列至少一个JavaScript, Flash, iFrames, ActiveX或CSS。 |
| 受害者使用现代浏览器支持的UI元素,如点击按钮(即不使用旧的文本浏览器) |
| 受害人有一个活跃的会话与目标系统。 |
| 目标系统的交互在受害者的浏览器窗口是开放的和支持的能力开始敏感行为代表用户在目标系统 |
技能要求
|
(级别:高) 制定适当的恶意网站和引诱受害者这个网站并不是微不足道的任务。 |
所需资源
后果
这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
| 范围 |
影响 |
可能性 |
|
保密
访问控制
授权 |
获得特权 |
|
|
完整性 |
修改数据 |
|
|
保密 |
读取数据 |
|
|
可用性 |
不可靠的执行 |
|
缓解措施
| 如果使用Firefox浏览器,使用NoScript插件,这将有助于禁止iFrames。 |
| 关闭JavaScript, Flash和禁用CSS。 |
| 当维护特权目标系统经过身份验证的会话,不要使用同一个浏览器导航到不熟悉的网站进行其他活动。完成工作与目标系统和注销之前继续其他任务。 |
例子,实例
受害者已经过身份验证的会话提供电子支付服务的网站订阅成员之间转移资金。同时,受害者收到一封电子邮件,似乎来自一个在线出版他们订阅与今天的新闻文章。万博下载包受害者点击这些链接之一,被带到一个页面的新闻故事。万博下载包有一个屏幕广告出现的新闻文章“跳过这广告”按钮。万博下载包渴望阅读新闻文章,用户点击这个按钮。万博下载包什么也不会发生。用户单击按钮一次,仍然什么也不会发生。 在现实中,受害者激活一个隐藏行动控制位于透明层高于“跳过这广告”按钮。广告屏幕挡住了新闻文章可能,受害者会点击“跳过这广告”万博下载包按钮。单击按钮,实际上启动了1000美元从受害者的账户转移敌人的电子支付服务。点击“跳过这广告”按钮第二次(第一次似乎什么都没有发生之后)证实的转移资金到电子支付服务。 |
分类法映射
引用
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2017-08-04
(版本2.11) |
CAPEC内容团队 |
manbetx客户端首页 |
| Attack_Phases更新,描述总结,Examples-Instances Related_Weaknesses Resources_Required |
| 2020-07-30
(版本3.3) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Example_Instances |
| 2020-12-17
(版本3.4) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新引用,Taxonomy_Mappings |
| 2022-09-29
(版本3.8) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述,Extended_Description |
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
