Clickjacking
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
What is Clickjacking
Σε μια επίθεση clickjacking, ένας χρήστης παραπλανάται να κλικάρει σε ένα στοιχείο σε μια ιστοσελίδα που είναι είτε αόρατο είτε μεταμφιεσμένο ως διαφορετικό στοιχείο. Αυτή η χειραγώγηση μπορεί να οδηγήσει σε απρόβλεπτες συνέπειες για τον χρήστη, όπως η λήψη κακόβουλου λογισμικού, ανακατεύθυνση σε κακόβουλες ιστοσελίδες, παροχή διαπιστευτηρίων ή ευαίσθητων πληροφοριών, μεταφορές χρημάτων ή η διαδικτυακή αγορά προϊόντων.
Prepopulate forms trick
Μερικές φορές είναι δυνατόν να συμπληρώσετε την τιμή των πεδίων μιας φόρμας χρησιμοποιώντας παραμέτρους GET κατά την φόρτωση μιας σελίδας. Ένας επιτιθέμενος μπορεί να εκμεταλλευτεί αυτή τη συμπεριφορά για να συμπληρώσει μια φόρμα με αυθαίρετα δεδομένα και να στείλει το payload clickjacking ώστε ο χρήστης να πατήσει το κουμπί Υποβολή.
Populate form with Drag&Drop
Αν χρειάζεστε τον χρήστη να συμπληρώσει μια φόρμα αλλά δεν θέλετε να του ζητήσετε άμεσα να γράψει κάποιες συγκεκριμένες πληροφορίες (όπως το email και ή συγκεκριμένος κωδικός που γνωρίζετε), μπορείτε απλά να του ζητήσετε να Drag&Drop κάτι που θα γράψει τα ελεγχόμενα δεδομένα σας όπως σε αυτό το παράδειγμα.
Basic Payload
Πολυβήματη Φορτωτική
Drag&Drop + Click payload
XSS + Clickjacking
Αν έχετε εντοπίσει μια επίθεση XSS που απαιτεί από τον χρήστη να κάνει κλικ σε κάποιο στοιχείο για να ενεργοποιήσει το XSS και η σελίδα είναι ευάλωτη σε clickjacking, μπορείτε να το εκμεταλλευτείτε για να παραπλανήσετε τον χρήστη να κάνει κλικ στο κουμπί/σύνδεσμο. Παράδειγμα: &#xNAN;You βρήκατε ένα self XSS σε κάποιες ιδιωτικές λεπτομέρειες του λογαριασμού (λεπτομέρειες που μόνο εσείς μπορείτε να ρυθμίσετε και να διαβάσετε). Η σελίδα με τη φόρμα για να ρυθμίσετε αυτές τις λεπτομέρειες είναι ευάλωτη σε Clickjacking και μπορείτε να προκαταβάλετε τη φόρμα με τις παραμέτρους GET. __Ένας επιτιθέμενος θα μπορούσε να προετοιμάσει μια επίθεση Clickjacking σε αυτή τη σελίδα προκαταβάλλοντας τη φόρμα με το XSS payload και παραπλανώντας τον χρήστη να υποβάλει τη φόρμα. Έτσι, όταν η φόρμα υποβληθεί και οι τιμές τροποποιηθούν, ο χρήστης θα εκτελέσει το XSS.
Στρατηγικές για την Ελάφρυνση του Clickjacking
Άμυνες Πλευράς Πελάτη
Τα σενάρια που εκτελούνται στην πλευρά του πελάτη μπορούν να εκτελέσουν ενέργειες για να αποτρέψουν το Clickjacking:
Διασφάλιση ότι το παράθυρο της εφαρμογής είναι το κύριο ή το πάνω παράθυρο.
Κάνοντάς τα όλα τα πλαίσια ορατά.
Αποτρέποντας τα κλικ σε αόρατα πλαίσια.
Ανίχνευση και ειδοποίηση χρηστών για πιθανές απόπειρες Clickjacking.
Ωστόσο, αυτά τα σενάρια καταστροφής πλαισίων μπορεί να παρακαμφθούν:
Ρυθμίσεις Ασφαλείας Περιηγητών: Ορισμένοι περιηγητές μπορεί να αποκλείσουν αυτά τα σενάρια με βάση τις ρυθμίσεις ασφαλείας τους ή την έλλειψη υποστήριξης JavaScript.
HTML5 iframe
sandbox
Attribute: Ένας επιτιθέμενος μπορεί να εξουδετερώσει τα σενάρια καταστροφής πλαισίων ρυθμίζοντας τοsandbox
attribute με τιμέςallow-forms
ήallow-scripts
χωρίςallow-top-navigation
. Αυτό αποτρέπει το iframe από το να επαληθεύσει αν είναι το πάνω παράθυρο, π.χ.,
The allow-forms
και allow-scripts
τιμές επιτρέπουν ενέργειες μέσα στο iframe ενώ απενεργοποιούν την πλοήγηση σε ανώτερο επίπεδο. Για να διασφαλιστεί η επιθυμητή λειτουργικότητα της στοχευμένης ιστοσελίδας, μπορεί να είναι απαραίτητες επιπλέον άδειες όπως allow-same-origin
και allow-modals
, ανάλογα με τον τύπο της επίθεσης. Τα μηνύματα κονσόλας του προγράμματος περιήγησης μπορούν να καθοδηγήσουν ποιες άδειες να επιτραπούν.
Άμυνες Από Διακομιστή
X-Frame-Options
Η X-Frame-Options
HTTP response header ενημερώνει τους προγράμματα περιήγησης σχετικά με τη νομιμότητα της απόδοσης μιας σελίδας σε ένα <frame>
ή <iframe>
, βοηθώντας στην πρόληψη του Clickjacking:
X-Frame-Options: deny
- Κανένα domain δεν μπορεί να πλαισιώσει το περιεχόμενο.X-Frame-Options: sameorigin
- Μόνο η τρέχουσα ιστοσελίδα μπορεί να πλαισιώσει το περιεχόμενο.X-Frame-Options: allow-from https://trusted.com
- Μόνο η καθορισμένη 'uri' μπορεί να πλαισιώσει τη σελίδα.Σημειώστε τους περιορισμούς: αν ο περιηγητής δεν υποστηρίζει αυτή τη οδηγία, μπορεί να μην λειτουργήσει. Ορισμένοι περιηγητές προτιμούν την οδηγία CSP frame-ancestors.
Οδηγία frame-ancestors της Πολιτικής Ασφαλείας Περιεχομένου (CSP)
Η frame-ancestors
οδηγία στην CSP είναι η προτεινόμενη μέθοδος για την προστασία από Clickjacking:
frame-ancestors 'none'
- Παρόμοιο μεX-Frame-Options: deny
.frame-ancestors 'self'
- Παρόμοιο μεX-Frame-Options: sameorigin
.frame-ancestors trusted.com
- Παρόμοιο μεX-Frame-Options: allow-from
.
Για παράδειγμα, η παρακάτω CSP επιτρέπει μόνο την πλαισίωση από το ίδιο domain:
Content-Security-Policy: frame-ancestors 'self';
Περισσότερες λεπτομέρειες και σύνθετα παραδείγματα μπορούν να βρεθούν στην τεκμηρίωση frame-ancestors CSP και στην τεκμηρίωση frame-ancestors της Mozilla.
Πολιτική Ασφαλείας Περιεχομένου (CSP) με child-src
και frame-src
child-src
και frame-src
Η Πολιτική Ασφαλείας Περιεχομένου (CSP) είναι ένα μέτρο ασφαλείας που βοηθά στην πρόληψη του Clickjacking και άλλων επιθέσεων εισαγωγής κώδικα καθορίζοντας ποιες πηγές πρέπει να επιτρέψει ο περιηγητής να φορτώσουν περιεχόμενο.
Οδηγία frame-src
frame-src
Ορίζει έγκυρες πηγές για frames.
Πιο συγκεκριμένη από την οδηγία
default-src
.
Αυτή η πολιτική επιτρέπει πλαίσια από την ίδια προέλευση (self) και https://trusted-website.com.
child-src
Κατεύθυνση
child-src
ΚατεύθυνσηΕισήχθη στο επίπεδο 2 του CSP για να ορίσει έγκυρες πηγές για web workers και πλαίσια.
Λειτουργεί ως εναλλακτική για το frame-src και το worker-src.
Αυτή η πολιτική επιτρέπει πλαίσια και εργαζόμενους από την ίδια προέλευση (self) και https://trusted-website.com.
Σημειώσεις Χρήσης:
Απαξίωση: το child-src καταργείται υπέρ του frame-src και worker-src.
Συμπεριφορά Εναλλακτικής: Εάν το frame-src απουσιάζει, το child-src χρησιμοποιείται ως εναλλακτική για τα πλαίσια. Εάν και τα δύο απουσιάζουν, χρησιμοποιείται το default-src.
Αυστηρός Ορισμός Πηγής: Συμπεριλάβετε μόνο αξιόπιστες πηγές στις οδηγίες για να αποτρέψετε την εκμετάλλευση.
JavaScript Frame-Breaking Scripts
Αν και δεν είναι εντελώς αλάνθαστα, τα σενάρια JavaScript που σπάνε τα πλαίσια μπορούν να χρησιμοποιηθούν για να αποτρέψουν μια ιστοσελίδα από το να πλαισιωθεί. Παράδειγμα:
Χρήση Αντι-CSRF Tokens
Επικύρωση Token: Χρησιμοποιήστε αντι-CSRF tokens σε διαδικτυακές εφαρμογές για να διασφαλίσετε ότι οι αιτήσεις που αλλάζουν την κατάσταση γίνονται σκόπιμα από τον χρήστη και όχι μέσω μιας Clickjacked σελίδας.
Αναφορές
Χρησιμοποιήστε Trickest για να δημιουργήσετε και να αυτοματοποιήσετε ροές εργασίας με τη βοήθεια των πιο προηγμένων εργαλείων της κοινότητας. Αποκτήστε Πρόσβαση Σήμερα:
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Last updated