支持拖放的“点击劫持漏洞”利用工具:CJExploiter

摘要

CJExploiter是一个支持拖放的点击劫持漏洞利用辅助工具。首先在本地用浏览器打开“index.html”,输入目标的URL并点击“View Site”。你可以自定义JS,最后点击“Exploit it”,你就能得到POC了。

支持拖放的“点击劫持漏洞”利用工具:CJExploiter

点击劫持(Clickjacking),又被称为“UI-覆盖攻击”,是指,攻击者使用多个透明或不透明的图层,当用户想要点击最顶层的页面时,欺骗用户点击其它页面上的按钮或者链接。

使用相同的技术,按键也可以被劫持。通过巧妙构造CSS样式,iframes以及文本框,可以让用户相信他们在给自己的邮箱或银行账户输入密码,但是实际上是输入给了黑客控制的不可见的iframe。OWASP

你可以用这个工具生成动态的POC。

*本文译者felix,翻译自:https://github.com/enddo/CJExploiter,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)

CJExploiter是一个支持拖放的点击劫持漏洞利用辅助工具。首先在本地用浏览器打开“index.html”,输入目标的URL并点击“View Site”。你可以自定义JS,最后点击“Exploit it”,你就能得到POC了。

点击劫持(Clickjacking),又被称为“UI-覆盖攻击”,是指,攻击者使用多个透明或不透明的图层,当用户想要点击最顶层的页面时,欺骗用户点击其它页面上的按钮或者链接。

使用相同的技术,按键也可以被劫持。通过巧妙构造CSS样式,iframes以及文本框,可以让用户相信他们在给自己的邮箱或银行账户输入密码,但是实际上是输入给了黑客控制的不可见的iframe。OWASP

你可以用这个工具生成动态的POC。

*本文译者felix,翻译自:https://github.com/enddo/CJExploiter,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: