submitjacking

猥琐的notclickjacking

很猥琐的submitjacking,在群里看到的。应该不是owasp里提到的clickjacking,但也挺有意思,OWASP会议上的Clickjacking可以看看刺写的OWASP会议上的Clickjacking

XML/HTML代码
  1. <form name="my_form_tres" action=""  
  2. onSubmit=window.open("http://www.example.com")>  
  3. <input type="submit" id="my_submit_button_tres"  
  4. style="position:absolute;left:0px;visibility:hidden;"/>  
  5. <a href="http://www.breakingpointsystems.com"  
  6. onMouseUp=document.getElementById('my_submit_button_tres').click()>Fake   
  7. link (onmouseup and click)</a>    
  8. </form>  

可参见http://www.planb-security.net/notclickjacking/

关键词: submitjacking , 脚本 , 技术