在没有用户帐户的站点上单击劫持

Question

我对点击攻击的理解是，攻击者可以将我的站点嵌入到他的网站中。然后，攻击者使用巧妙的样式来欺骗用户在我的站点上执行他们不打算执行的操作。

假设我的站点没有用户帐户的概念，在这个用户帐户中，有人可以执行更多的操作，而不登录的操作更多。

那么点击攻击是否仍然适用于我的网站？

更具体地说，如果我允许用户在我的网站上购买东西，但要求他们每次输入他们的个人信息和CC信息，因为他们没有在网站上的“帐户”，我能允许我的网站嵌入到其他网站的iFrames中吗？

Answer 1

假设我的站点没有用户帐户的概念.那么点击攻击是否仍然适用于我的网站？

即使没有帐户，如果有用户会话的概念，那么Clickjacking也可能适用。这一切都取决于在会话级别上存储的内容。

考虑这一点的最佳方法是，如果您的站点记住会话级别的状态，并且没有设置X-框架-选项以防止帧化，那么攻击者可能会欺骗用户提交此状态信息以执行操作。

另一个要求是在您的站点某个地方有一个可点击的项目，通常是一个按钮，它不需要页面上的任何输入，只需要单击。

点击劫持是一种“规避”CSRF保护的一种方式，在不需要用户输入的页面上提交它们。

举个例子：

1. 用户添加一个“小部件”到他们的篮子在你的网站上。
2. 用户去结帐并输入他们的个人信息和卡的详细信息。
3. 此信息存储在用户会话中的服务器端，通过存储在cookie中的随机令牌标识。
4. 用户被重定向到确认页面，以便在发送订单之前检查他们的详细信息:向example.com/confirm.php发出的GET请求显示他们的订单，他们可以单击submit按钮来完成他们的订单，这将提交一个空表单( CSRF令牌除外)，从而向complete.php发送一个POST请求。

现在，攻击者可以设置confirm.php页面的框架，并在顶部显示另一个按钮，因此当用户单击该按钮时，他们会向您的站点提交订单。这可能与其他地方添加项到用户篮的CSRF漏洞相结合，并且可以在已知会话已填充的位置执行(可能攻击者已经控制了用户第一次签出后显示的广告商网站之一，此漏洞允许他们使用攻击者选择的项再次执行此操作)。

因此，是的，您的站点可能是脆弱的，这取决于具体的实现细节和您的站点的业务模式，看看它是否构成了真正的威胁。

Answer 2

是的，无论你是否有用户帐户，你的网站都可以被点击。

如果用户在您的网站上有帐户，那么就可以对该帐户进行点击攻击。但也可以对目标的其他方面进行点击攻击。

维基百科有一个几个例子：欺骗用户启用他们的网络摄像头，在推特上跟踪某人，或者让他们“喜欢”Facebook上的某个东西。

事实上，我们的用户没有一个帐户，并不能保护他们免受点击攻击。如果点击者是在信用卡号码之后，要求用户输入他们的所有信息，让点击者也更容易获得个人数据。

Answer 3

点击劫持可以对您的网站进行。如果经过身份验证的用户登录到您的应用程序，并且攻击者向他发送了一个恶意链接，那么当用户单击该链接时，他将得到一个站点，该站点上有一个单击此处按钮。点击此处按钮，将有一个Iframe您的网站，以删除用户。当用户单击单击此处按钮时，他的帐户将被删除。关于点击劫持的更多信息