Burp Clickbandit是用于生成点击劫持攻击的工具。 当发现可能容易受到点击劫持的网页时,可以使用Burp Clickbandit发起攻击,并确认可以成功利用此漏洞。
本文档涵盖以下领域:
注意: 在不受信任的网站上运行Burp Clickbandit时请多加注意。 目标站点中的恶意JavaScript可能会破坏Burp Clickbandit生成的HTML输出。
Burp Clickbandit使用JavaScript在您的浏览器中运行。 它适用于除Microsoft IE和Edge之外的所有现代浏览器。
要运行Clickbandit,请转至Burp菜单,然后选择“ Burp Clickbandit”。 然后使用以下步骤:
Burp Clickbandit标语将出现在浏览器窗口的顶部,原始页面将在一个框架内重新加载,以准备进行攻击。
Burp Clickbandit首先以记录模式加载。 单击“开始”以加载网站。 执行一次或多次鼠标单击以记录您的点击劫持攻击。 通常,这将涉及执行受害者用户执行某些所需操作所需的鼠标单击。
默认情况下,记录点击时,目标页面也会以常规方式处理它们。 您可以使用“禁用点击操作”复选框来记录点击,而无需目标页面对其进行处理。
您可以点击“Sandbox iframe”复选框,将sandbox属性添加到iframe。 此选项将使您避免帧破坏。
完成录制后,单击“完成”按钮进入查看模式。
完成对攻击的记录后,Burp Clickbandit进入查看模式。 这样,您可以查看所生成的攻击,并将攻击UI覆盖在原始页面UI上。 您可以单击攻击UI上的按钮以验证攻击是否有效。
在查看模式下可以使用以下命令: