Пожалуйста, обратите внимание, что пользователь заблокирован
Гы... Попытаюсь гахнуть статейку по clickjacking`у, на форуме нет, вот и подумал. Статьи писать не умею)
Где неправильно, подправьте и дополните.
Вот и вся мини-статья.
Где неправильно, подправьте и дополните.
Скрытый контент для зарегистрированных пользователей.
И так, что же из себя представляет этот ваш кликлжекинг?
В большинстве случаев - это создание iframe, который делается полностью прозрачным, и разместив поверх него
определенный текст мы можем заставить ничего не подозревающего пользователя сделать вещи которые он никак не хотел в принципе.
Что такое iframe?
Спишу с вики - iFrame или плавающий фрейм — отдельное окно, HTML-документ, который отображается вместе с другим
содержимым страницы в окне браузера. Располагаться он может в любом месте.
Или простыми словами - это окно, которое может подгружаться с любого сайта поверх текущей страницы.
Простой пример iframe под баннер:
С появлением HTML5 защита против джекинга стала более продвинутой, но не настолько что бы ее не можно было обойти.
Сдед. код может обойти эту защиту, как пример:
Сейчас перейду к демонстрации зловреда (обычно iframe прозрачен):
Основная суть атака заключается в том, что бы повесить прозрачный iframe над ссылкой или кнопкой по которой предположительно нажмёт жертва,
и мы суперхацкеры словим её клик.
Со стороны жертвы она просто нажимает кнопку, думая что поставит лайк, а в итоге подпишется на левую группу (безобидный пример).
Как обнаружить эксплуатацию iframe?
Есть такой заголовок как - X-Frame-Options. Он разрешает или запрещает использование iframe на странице.
Заголовок может иметь 3 значения:
DENY
Никогда не показывать страницу внутри фрейма.
SAMEORIGIN
Разрешить открытие страницы внутри фрейма только в том случае, если родительский документ имеет тот же источник.
ALLOW-FROM domain
Разрешить открытие страницы внутри фрейма только в том случае, если родительский документ находится на указанном в заголовке домене.
В заключение:
clickjacking - это вид атаки, который перехватывает пользовательский клик, методом установки на пригодный сайт прозрачного
iframe.
В большинстве случаев - это создание iframe, который делается полностью прозрачным, и разместив поверх него
определенный текст мы можем заставить ничего не подозревающего пользователя сделать вещи которые он никак не хотел в принципе.
Что такое iframe?
Спишу с вики - iFrame или плавающий фрейм — отдельное окно, HTML-документ, который отображается вместе с другим
содержимым страницы в окне браузера. Располагаться он может в любом месте.
Или простыми словами - это окно, которое может подгружаться с любого сайта поверх текущей страницы.
Простой пример iframe под баннер:
<iframe src="http://example.com" width="350" height="100"></iframe>С появлением HTML5 защита против джекинга стала более продвинутой, но не настолько что бы ее не можно было обойти.
Сдед. код может обойти эту защиту, как пример:
<iframe sandbox src="http://example.com" width="350" height="100"></iframe>Сейчас перейду к демонстрации зловреда (обычно iframe прозрачен):
Код:
<style>
iframe { /* ифрейм с сайта-жертвы */
width: 400px;
height: 100px;
position: absolute;
top:0; left:-20px;
opacity: 0.5; /* в реальности opacity:0 */
z-index: 1;
}
</style>
<div>Нажми, чтобы разбогатеть:</div>
<!-- Url с сайта-жертвы -->
<iframe src="/clickjacking/facebooking.html"></iframe>
<button>Нажмите сюда!</button>
<div>...И всё будет супер (у меня, хакера)!</div>Основная суть атака заключается в том, что бы повесить прозрачный iframe над ссылкой или кнопкой по которой предположительно нажмёт жертва,
и мы суперхацкеры словим её клик.
Со стороны жертвы она просто нажимает кнопку, думая что поставит лайк, а в итоге подпишется на левую группу (безобидный пример).
Как обнаружить эксплуатацию iframe?
Есть такой заголовок как - X-Frame-Options. Он разрешает или запрещает использование iframe на странице.
Заголовок может иметь 3 значения:
DENY
Никогда не показывать страницу внутри фрейма.
SAMEORIGIN
Разрешить открытие страницы внутри фрейма только в том случае, если родительский документ имеет тот же источник.
ALLOW-FROM domain
Разрешить открытие страницы внутри фрейма только в том случае, если родительский документ находится на указанном в заголовке домене.
В заключение:
clickjacking - это вид атаки, который перехватывает пользовательский клик, методом установки на пригодный сайт прозрачного
iframe.
Вот и вся мини-статья.
