Кликджекинг

[SemenUmen]

1363014303_42_tumb_tumb.jpg
Как заставить пользователя сделать что либо на каком либо сайте?!

Кликджекинг (англ. Clickjacking) — механизм обмана пользователей интернета, при котором злоумышленник может получить доступ к конфиденциальной информации или даже получить доступ к компьютеру пользователя, заманив его на внешне безобидную страницу или внедрив вредоносный код на безопасную страницу.

Говоря по-русски, мы создаем страницу, используя iframe, или аналогичный метод, сделав его полностью прозрачным, и разместив поверх него определенный текст. Тем самым, мы можем ввести пользователя в заблуждение и заставить его выполнить определенные действия.

Методы противодействия

Вы скажете: «Почему мы узнаемкак противодействовать атаке, если даже не умеем её эксплуатировать?». Но ведь для использования атаки нужно удостовериться, что интересующий нас хост уязвим, только тогда мы сможем воспользоваться уязвимостью.

Существует несколько способ защиты. Ну по крайней мере так думают некоторые.

Дело в том, что когда в 2008 году сделали публичное разглашение данного типа атак (что брехня, ибо об этом говорили и раньше, просто в силу малой известности авторов, способ не уходил в массы) начали использовать easy fix для противодействия, что является псевдозащитой. А через некоторое время, браузеры начали поддерживать специальный заголовок, который ставит ограничения, либо вовсе запрещает загружать iframe на хостах, отличных от данного. Итак, разберем эти две защиты на живом примере.

top != self или псевдозащита
Как я уже говорил, данный способ появился почти сразу же, и являлся еще хоть какой-то защитой, до недавнего времени.
Рассмотрим пример «защиты». Имеем страницу, загружаемую вiframe.
Теперь внедряем код и даже видим, что она как будто бы работает.
Но с появлением HTML5 и поддержкой всеми современными браузерами, эта защита элементарно обходится.
HTML5 принес нам поддержку атрибута sandbox.
Скажем так, что это не единственная подобная «защита». Вся она основана на JS и легко обходится.

Заголовок X-Frame-Options
Данный заголовок позволяет нам полностью или частично ограничить загрузку ресурса в iframe. Обойти крайне трудно, т.к браузер обрабатывает заголовок напрямую и обход является уязвимостью браузера. Данный способ наиболее приемлем, на сегодняшний день.

Ну вот мы и добрались до практического применения наших знаний.
Первое, что должен проверить пентестер, наличие заголовка.
Как мы видим, заголовок X-Frame-Options отсутствует, т.е сайт уязвим.
Попытавшись загрузить сайт в iframe, получаем непрогрузившуюся страницу.
Добавив sandbox, прогружаем страницу.
А вот и виновник
Размещаем текст под кнопкой «Вступить в группу».

Имеем страницу, ну или биткоингрупп, если вы понимаете, о чемя

<html><head><title>Clickjacking vk.com</title><style>iframe {
position: absolute; opacity: 0.2; z-index: 2;}</style></head><body><iframe sandbox width='400' height='500' src=' http://m.vk.com/drinkingandcats'></iframe><a id='a' style='position:relative;left:140px;top:127px'>Cli ck to WIN!</a></body></html>


Ну вот, собственно, и все. Вид страницы может быть любым, но лучший способ атаки — повесить картинку крестика, закрытия баннера, поверх страницы. Лучший способ.