Android系統(tǒng)點擊劫持漏洞攻防技術(shù)研究.pdf

1、近年來，隨著移動互聯(lián)網(wǎng)的普及，移動端網(wǎng)絡(luò)流量大大增加，用戶接入互聯(lián)網(wǎng)的方式越來越豐富，越來越多的用戶選擇手機等移動端平臺訪問互聯(lián)網(wǎng)。移動互聯(lián)網(wǎng)傳輸能力的提升及移動智能終端設(shè)備的發(fā)展，移動端能實現(xiàn)的功能越來越完善，如今用戶不僅可以在移動設(shè)備上實現(xiàn)網(wǎng)頁瀏覽等功能，還可以實現(xiàn)金融支付、移動辦公、社交網(wǎng)絡(luò)等與個人信息隱私息息相關(guān)的功能。因此，移動互聯(lián)網(wǎng)的安全也受到了廣泛的關(guān)注與重視。
　　Web安全是傳統(tǒng)互聯(lián)網(wǎng)安全的重要組成部分，在傳統(tǒng)W

2、indows終端跨站腳本攻擊（Cross-Site Scripting，XSS）、跨站請求偽造（Cross-Site Request Forgery，CSRF）、點擊劫持攻擊（Clickjacking）等Web攻擊方法造成了很大的危害。隨著移動互聯(lián)網(wǎng)的發(fā)展，這類攻擊逐漸在移動平臺端出現(xiàn)。
　　本文首先研究了傳統(tǒng)Windows終端的點擊劫持攻擊方法，分析了不同攻擊方法利用的漏洞及攻擊的實現(xiàn)手段，以及點擊劫持攻擊與其他Web攻擊方法的

3、結(jié)合攻擊，并研究分析了現(xiàn)有的點擊劫持攻擊防御方法，主要包括X-Frame-Options與FrameBusting等方法。在總結(jié)分析傳統(tǒng)Windows終端Web點擊劫持攻擊防御的基礎(chǔ)上，本文主要以Android系統(tǒng)為例研究了當(dāng)今流行的移動平臺端的點擊劫持攻擊利用的漏洞與實現(xiàn)的方法，這類攻擊方法主要利用了Android系統(tǒng)等移動平臺中特有的屬性進行攻擊，傳統(tǒng)的點擊劫持防御方法對這類攻擊無效。
　　針對現(xiàn)有的點擊劫持防御方法對Andr