https://blog.qife122.com/tags/%E7%82%B9%E5%87%BB%E5%8A%AB%E6%8C%81/ Recent content in 点击劫持 on 办公AI智能小助手 Hugo zh-cn qife Sat, 10 Jan 2026 23:52:24 +0800 https://blog.qife122.com/p/svg%E8%BF%87%E6%BB%A4%E5%99%A8%E7%82%B9%E5%87%BB%E5%8A%AB%E6%8C%81%E6%8A%80%E6%9C%AF%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ Sat, 10 Jan 2026 23:52:24 +0800 https://blog.qife122.com/p/svg%E8%BF%87%E6%BB%A4%E5%99%A8%E7%82%B9%E5%87%BB%E5%8A%AB%E6%8C%81%E6%8A%80%E6%9C%AF%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ <h1 id="svg过滤器---点击劫持-20">SVG过滤器 - 点击劫持 2.0</h1> <p>点击劫持是一种经典的攻击方式，其原理是通过覆盖其他网站的iframe来诱使用户无意中与之交互。如果需要诱骗某人点击一两个按钮，这种方法效果很好，但对于更复杂的操作，则有些不切实际。</p> https://blog.qife122.com/p/%E5%AF%86%E7%A0%81%E7%AE%A1%E7%90%86%E5%99%A8%E9%9D%A2%E4%B8%B4%E7%82%B9%E5%87%BB%E5%8A%AB%E6%8C%81%E6%94%BB%E5%87%BB%E9%A3%8E%E9%99%A9-%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90%E4%B8%8E%E9%98%B2%E6%8A%A4%E6%8C%87%E5%8D%97/ Sat, 25 Oct 2025 20:22:17 +0800 https://blog.qife122.com/p/%E5%AF%86%E7%A0%81%E7%AE%A1%E7%90%86%E5%99%A8%E9%9D%A2%E4%B8%B4%E7%82%B9%E5%87%BB%E5%8A%AB%E6%8C%81%E6%94%BB%E5%87%BB%E9%A3%8E%E9%99%A9-%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90%E4%B8%8E%E9%98%B2%E6%8A%A4%E6%8C%87%E5%8D%97/ <h1 id="vu516608---多个密码管理器易受点击劫持攻击">VU#516608 - 多个密码管理器易受点击劫持攻击</h1> <h2 id="漏洞说明-vu516608">漏洞说明 VU#516608</h2> <p>首次发布日期：2025-10-17 | 最后修订日期：2025-10-17</p> <h2 id="概述">概述</h2> <p>浏览器扩展密码管理器能够在网站上自动填充敏感信息，但容易遭受各种点击劫持攻击。这些攻击利用了网页与扩展注入的用户界面元素之间的信任关系。最新研究表明，文档对象模型（DOM）级操纵可以绕过许多标准的点击劫持防御措施，当用户访问恶意或受感染的网站时，多个密码管理器将面临风险。用户应及时安装供应商更新，并仔细权衡使用密码管理器功能（如自动填充敏感信息）的安全风险，这些功能以便利性换取潜在暴露。</p> https://blog.qife122.com/p/metamask%E9%87%8D%E9%87%91%E6%82%AC%E8%B5%8F%E7%82%B9%E5%87%BB%E5%8A%AB%E6%8C%81%E6%BC%8F%E6%B4%9E%E4%BF%AE%E5%A4%8D/ Wed, 01 Oct 2025 01:03:30 +0800 https://blog.qife122.com/p/metamask%E9%87%8D%E9%87%91%E6%82%AC%E8%B5%8F%E7%82%B9%E5%87%BB%E5%8A%AB%E6%8C%81%E6%BC%8F%E6%B4%9E%E4%BF%AE%E5%A4%8D/ <h1 id="metamask授予点击劫持漏洞赏金">MetaMask授予点击劫持漏洞赏金</h1> <p>MetaMask已向全球白帽安全团队（UGWST）支付12万美元赏金，奖励其负责任地披露了一个关键安全漏洞。该漏洞由René Kroka和José Almeida发现，目前尚未发现被利用的案例，MetaMask团队已为用户修复该问题。该漏洞仅影响浏览器扩展程序，攻击者可将MetaMask扩展作为隐藏层覆盖在其他网站之上，诱使用户在不知情的情况下泄露私人数据或发送加密资产。</p> https://blog.qife122.com/p/wakatime-oauth%E5%8F%8C%E9%87%8D%E7%82%B9%E5%87%BB%E5%8A%AB%E6%8C%81%E6%94%BB%E5%87%BB%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Fri, 19 Sep 2025 02:06:40 +0800 https://blog.qife122.com/p/wakatime-oauth%E5%8F%8C%E9%87%8D%E7%82%B9%E5%87%BB%E5%8A%AB%E6%8C%81%E6%94%BB%E5%87%BB%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h1 id="wakatime-oauth双重点击劫持攻击漏洞分析">WakaTime OAuth双重点击劫持攻击漏洞分析</h1> <h2 id="漏洞概述">漏洞概述</h2> <p>攻击者可通过双重点击劫持（Double Clickjacking）攻击诱骗用户在WakaTime应用授权对话框中无意点击“连接我的WakaTime账户”按钮。这使得攻击者能够注册恶意OAuth应用、托管钓鱼页面，并让受害者意外点击授权按钮。</p> https://blog.qife122.com/p/wakatime-oauth%E5%8F%8C%E9%87%8D%E7%82%B9%E5%87%BB%E5%8A%AB%E6%8C%81%E6%94%BB%E5%87%BB%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Mon, 08 Sep 2025 08:38:31 +0800 https://blog.qife122.com/p/wakatime-oauth%E5%8F%8C%E9%87%8D%E7%82%B9%E5%87%BB%E5%8A%AB%E6%8C%81%E6%94%BB%E5%87%BB%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h1 id="wakatime-oauth双重点击劫持攻击">WakaTime OAuth双重点击劫持攻击</h1> <h2 id="漏洞概述">漏洞概述</h2> <p>攻击者可以通过双重点击劫持攻击诱骗用户在WakaTime应用同意对话框中无意点击&quot;连接我的WakaTime账户&quot;按钮。这使得攻击者能够注册WakaTime OAuth应用，托管钓鱼页面，并让受害者意外点击授权按钮。</p>