5.4 有何危害

界面操作劫持实际上突破了CSRF的防御策略,这是一种社工色彩很强的跨域操作,而这种跨域正好是浏览器自身的特性。它带来的危害可以很大,比如,删除与篡改数据、偷取隐私甚至爆发蠕虫(可以在第9章“Web蠕虫”中查看详情)。

我们在实际的攻击测试中发现,大家对这方面的意识是很薄弱的,即使没有很好的美工功底,其成功率还是比较高的,但是在真实的攻击案例中,这类攻击出现得非常少,将来也许会逐渐多起来(因为无论是Web厂商还是用户,其防御意识都很薄弱),界面操作劫持会不断地进化。