目前我使用的测试方法如下:
- burp suite > burp clickbandit
- 点击 copy Clickbandit to clipboard
- 打开待测网页
- F12打开开发者工具 > console
- 将拷贝的代码复制到console,回车运行
- 点击start
- 选择用户名输入框
- 点击finish
- 点击click
- 就会出现 You‘ve been clickjacked,我就认为是有点击劫持漏洞的
请问我这么测试对吗?如果漏洞修复后会是怎么样的效果?
1 个赞
可以用burp验证,也可以自己写个html,然后引用目标网页。
修复后F12 Console会报错说无法引用该网址,因为设置了X-FRAME-OPTION
PS:点击劫持解决办法为1. 后端返回加报文头X-FRAME-OPTION 2. Nginx加配置,可放在http,server,location下面,我是放在server下面解决的