如何验证点击劫持漏洞(已解决)

目前我使用的测试方法如下:

  1. burp suite > burp clickbandit
  2. 点击 copy Clickbandit to clipboard
  3. 打开待测网页
  4. F12打开开发者工具 > console
  5. 将拷贝的代码复制到console,回车运行
  6. 点击start
  7. 选择用户名输入框
  8. 点击finish
  9. 点击click
  10. 就会出现 You‘ve been clickjacked,我就认为是有点击劫持漏洞的

请问我这么测试对吗?如果漏洞修复后会是怎么样的效果?

1 Like

可以用burp验证,也可以自己写个html,然后引用目标网页。
修复后F12 Console会报错说无法引用该网址,因为设置了X-FRAME-OPTION

PS:点击劫持解决办法为1. 后端返回加报文头X-FRAME-OPTION 2. Nginx加配置,可放在http,server,location下面,我是放在server下面解决的

关闭