Clickjacking
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Gebruik Trickest om maklik te bou en werkvloei te outomatiseer wat deur die wêreld se mees gevorderde gemeenskap gereedskap aangedryf word. Kry Toegang Vandag:
In 'n clickjacking aanval, word 'n gebruiker mislei om op 'n element op 'n webblad te klik wat ofwel on sigbaar is of as 'n ander element vermom is. Hierdie manipulering kan lei tot onbedoelde gevolge vir die gebruiker, soos die aflaai van malware, herleiding na kwaadwillige webbladsye, verskaffing van geloofsbriewe of sensitiewe inligting, geld oordragte, of die aanlyn aankoop van produkte.
Soms is dit moontlik om die waarde van velde van 'n vorm te vul met GET parameters wanneer 'n bladsy gelaai word. 'n Aanvaller kan hierdie gedrag misbruik om 'n vorm met arbitrêre data te vul en die clickjacking payload te stuur sodat die gebruiker die knoppie Indien druk.
As jy wil hê dat die gebruiker 'n vorm moet vul maar jy wil nie direk vra dat hy spesifieke inligting (soos die e-pos en of spesifieke wagwoord wat jy ken) moet skryf nie, kan jy hom net vra om iets te Sleep&Laat val wat jou beheerde data sal skryf soos in hierdie voorbeeld.
As jy 'n XSS-aanval geïdentifiseer het wat 'n gebruiker vereis om op 'n element te klik om die XSS te aktiveer en die bladsy is kwulnerabel vir clickjacking, kan jy dit misbruik om die gebruiker te mislei om op die knoppie/skakel te klik. Voorbeeld: &#xNAN;You het 'n self XSS in sommige privaat besonderhede van die rekening gevind (besonderhede wat slegs jy kan stel en lees). Die bladsy met die vorm om hierdie besonderhede in te stel is kwulnerabel vir Clickjacking en jy kan die vorm met die GET parameters vooraf vul. __‘n Aanvaller kan 'n Clickjacking aanval voorberei op daardie bladsy deur die vorm met die XSS payload te vooraf vul en die gebruiker te mislei om die vorm te indien. So, wanneer die vorm ingedien word en die waardes gewysig word, sal die gebruiker die XSS uitvoer.
Scripts wat aan die kliëntkant uitgevoer word, kan aksies uitvoer om Clickjacking te voorkom:
Verseker dat die toepassingsvenster die hoof- of boonste venster is.
Maak alle rame sigbaar.
Voorkom kliks op onsigbare rame.
Detecteer en waarsku gebruikers oor potensiële Clickjacking pogings.
Egter, hierdie frame-busting scripts kan omseil word:
Browers se Sekuriteitsinstellings: Sommige blaaiers mag hierdie scripts blokkeer op grond van hul sekuriteitsinstellings of gebrek aan JavaScript-ondersteuning.
HTML5 iframe sandbox
Attribuut: 'n Aanvaller kan frame buster scripts neutraliseer deur die sandbox
attribuut met allow-forms
of allow-scripts
waardes te stel sonder allow-top-navigation
. Dit voorkom dat die iframe verifieer of dit die boonste venster is, bv.,
The allow-forms
en allow-scripts
waardes stel aksies binne die iframe in staat terwyl top-niveau navigasie gedeaktiveer word. Om die beoogde funksionaliteit van die geteikende webwerf te verseker, mag addisionele toestemmings soos allow-same-origin
en allow-modals
nodig wees, afhangende van die tipe aanval. Bladsy-konsolboodskappe kan lei oor watter toestemmings toegestaan moet word.
Die X-Frame-Options
HTTP antwoordkop informeer blaaiers oor die wettigheid van die weergawe van 'n bladsy in 'n <frame>
of <iframe>
, wat help om Clickjacking te voorkom:
X-Frame-Options: deny
- Geen domein kan die inhoud raam nie.
X-Frame-Options: sameorigin
- Slegs die huidige webwerf kan die inhoud raam.
X-Frame-Options: allow-from https://trusted.com
- Slegs die gespesifiseerde 'uri' kan die bladsy raam.
Let op die beperkings: as die blaier hierdie riglyn nie ondersteun nie, mag dit nie werk nie. Sommige blaaiers verkies die CSP frame-ancestors riglyn.
frame-ancestors
riglyn in CSP is die aanbevole metode vir Clickjacking beskerming:
frame-ancestors 'none'
- Soortgelyk aan X-Frame-Options: deny
.
frame-ancestors 'self'
- Soortgelyk aan X-Frame-Options: sameorigin
.
frame-ancestors trusted.com
- Soortgelyk aan X-Frame-Options: allow-from
.
Byvoorbeeld, die volgende CSP laat slegs raamwerk toe vanaf dieselfde domein:
Content-Security-Policy: frame-ancestors 'self';
Verder besonderhede en komplekse voorbeelde kan gevind word in die frame-ancestors CSP dokumentasie en Mozilla se CSP frame-ancestors dokumentasie.
child-src
en frame-src
Inhoudsekuriteitsbeleid (CSP) is 'n sekuriteitsmaatreël wat help om Clickjacking en ander kode-inspuitaanvalle te voorkom deur te spesifiseer watter bronne die blaier moet toelaat om inhoud te laai.
frame-src
RiglynDefinieer geldige bronne vir rame.
Meer spesifiek as die default-src
riglyn.
Hierdie beleid laat rame van dieselfde oorsprong (self) en https://trusted-website.com toe.
child-src
RiglynIngevoerd in CSP vlak 2 om geldige bronne vir webwerkers en rame in te stel.
Dien as 'n terugval vir frame-src en worker-src.
Hierdie beleid laat rame en werkers van dieselfde oorsprong (self) en https://trusted-website.com toe.
Gebruiknotas:
Aftrekking: child-src word geleidelik uitgefaseer ten gunste van frame-src en worker-src.
Terugvalgedrag: As frame-src afwesig is, word child-src as 'n terugval vir rame gebruik. As albei afwesig is, word default-src gebruik.
Streng Bron Definisie: Sluit slegs vertroude bronne in die richtlijnen in om uitbuiting te voorkom.
Alhoewel dit nie heeltemal foutloos is nie, kan JavaScript-gebaseerde raam-busting skripte gebruik word om te voorkom dat 'n webblad in 'n raam geplaas word. Voorbeeld:
Token Validasie: Gebruik anti-CSRF tokens in webtoepassings om te verseker dat statusveranderende versoeke doelbewus deur die gebruiker gemaak word en nie deur 'n Clickjacked bladsy nie.
Gebruik Trickest om maklik te bou en werkvloei te automate wat deur die wêreld se mees gevorderde gemeenskapstools aangedryf word. Kry Toegang Vandag:
Leer & oefen AWS Hacking:HackTricks Opleiding AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Opleiding GCP Red Team Expert (GRTE)