点击劫持

一种欺骗性网络攻击，攻击者诱使用户与隐藏或被错误呈现的元素进行交互，而不是可见的元素。

定义

点击劫持（也称为点击劫持或界面重定位）是一种安全漏洞，恶意行为者通过叠加或伪装网页元素，使用户在认为自己点击的是可见按钮、链接或控件时，实际上在隐藏界面上执行了非预期的操作。这通常利用透明的iframe或分层的HTML/CSS元素，误导用户触发授权支付、启用摄像头/麦克风访问或提交敏感数据等事件，而用户对此毫无察觉。本质上，它通过让用户无意中与隐藏内容交互来劫持用户的输入。点击劫持仍然是网络安全隐患之一，要求开发人员采取防护措施以防止此类基于界面的欺骗行为。

优点

• 帮助安全专业人员深入理解用户界面利用技术。
• 暴露浏览器和应用设计中的弱点，以改进防御策略。
• 可以指导开发如X-Frame-Options和CSP frame-ancestors等防护头。

缺点

• 可能导致无意的财务交易或未经授权的购买。
• 可能使敏感信息如凭证或个人数据暴露给攻击者。
• 允许攻击者在未经用户同意的情况下启用设备权限（例如，网络摄像头）。
• 通过基本的HTML/CSS和iframe操作即可轻松执行。

使用场景

• 网络犯罪分子诱使用户在社交平台上点赞或分享内容（如“点赞劫持”）。
• 攻击者叠加支付按钮以发起未经授权的交易。
• 恶意页面促使用户无意中授予对网络摄像头或麦克风的访问权限。
• 欺骗性链接导致恶意软件安装或重定向到有害网站。
• 安全评估会模拟点击劫持以测试网络应用中的UI防御。