Clickjacking
Utilisez Trickest pour construire et automatiser facilement des flux de travail alimentés par les outils communautaires les plus avancés au monde. Accédez dès aujourd'hui :
Qu'est-ce que le Clickjacking
Dans une attaque de clickjacking, un utilisateur est trompé pour cliquer sur un élément d'une page web qui est soit invisible soit déguisé en un autre élément. Cette manipulation peut entraîner des conséquences non intentionnelles pour l'utilisateur, telles que le téléchargement de logiciels malveillants, la redirection vers des pages web malveillantes, la fourniture d'identifiants ou d'informations sensibles, des transferts d'argent ou l'achat en ligne de produits.
Astuce de préremplissage de formulaires
Parfois, il est possible de remplir la valeur des champs d'un formulaire en utilisant des paramètres GET lors du chargement d'une page. Un attaquant peut abuser de ce comportement pour remplir un formulaire avec des données arbitraires et envoyer la charge utile de clickjacking afin que l'utilisateur appuie sur le bouton Soumettre.
Remplir un formulaire avec le glisser-déposer
Si vous avez besoin que l'utilisateur remplisse un formulaire mais que vous ne voulez pas lui demander directement d'écrire des informations spécifiques (comme l'e-mail et/ou le mot de passe spécifique que vous connaissez), vous pouvez simplement lui demander de glisser-déposer quelque chose qui écrira vos données contrôlées comme dans cet exemple.
Charge utile de base
Charge utile multistep
Payload Drag&Drop + Clic
English
French
XSS + Clickjacking
Si vous avez identifié une attaque XSS qui nécessite qu'un utilisateur clique sur un élément pour déclencher le XSS et que la page est vulnérable au clickjacking, vous pourriez l'exploiter pour tromper l'utilisateur en le faisant cliquer sur le bouton/lien. Exemple: Vous avez trouvé un auto-XSS dans certains détails privés du compte (détails que seul vous pouvez définir et lire). La page avec le formulaire pour définir ces détails est vulnérable au clickjacking et vous pouvez pré-remplir le formulaire avec les paramètres GET. __Un attaquant pourrait préparer une attaque de clickjacking sur cette page en pré-remplissant le formulaire avec la charge utile XSS et en trompant l'utilisateur pour soumettre le formulaire. Ainsi, lorsque le formulaire est soumis et que les valeurs sont modifiées, l'utilisateur exécutera le XSS.
Stratégies pour Mitiger le Clickjacking
Défenses Côté Client
Les scripts exécutés côté client peuvent effectuer des actions pour prévenir le Clickjacking :
S'assurer que la fenêtre de l'application est la fenêtre principale ou supérieure.
Rendre tous les cadres visibles.
Empêcher les clics sur les cadres invisibles.
Détecter et alerter les utilisateurs sur les tentatives potentielles de Clickjacking.
Cependant, ces scripts de rupture de cadre peuvent être contournés :
Paramètres de Sécurité des Navigateurs : Certains navigateurs peuvent bloquer ces scripts en fonction de leurs paramètres de sécurité ou du manque de support JavaScript.
Attribut
sandbox
de l'iframe HTML5 : Un attaquant peut neutraliser les scripts de rupture de cadre en définissant l'attributsandbox
avec les valeursallow-forms
ouallow-scripts
sansallow-top-navigation
. Cela empêche l'iframe de vérifier s'il est la fenêtre supérieure, par exemple.
Les valeurs allow-forms
et allow-scripts
permettent des actions dans l'iframe tout en désactivant la navigation de niveau supérieur. Pour garantir la fonctionnalité prévue du site ciblé, des autorisations supplémentaires telles que allow-same-origin
et allow-modals
peuvent être nécessaires, selon le type d'attaque. Les messages de la console du navigateur peuvent indiquer quelles autorisations autoriser.
Défenses côté serveur
X-Frame-Options
L'en-tête de réponse HTTP X-Frame-Options
informe les navigateurs sur la légitimité du rendu d'une page dans un <frame>
ou <iframe>
, aidant à prévenir le Clickjacking :
X-Frame-Options: deny
- Aucun domaine ne peut encadrer le contenu.X-Frame-Options: sameorigin
- Seul le site actuel peut encadrer le contenu.X-Frame-Options: allow-from https://trusted.com
- Seul l'URI spécifié peut encadrer la page.Notez les limitations : si le navigateur ne prend pas en charge cette directive, cela pourrait ne pas fonctionner. Certains navigateurs préfèrent la directive CSP frame-ancestors.
Directive frame-ancestors de la stratégie de sécurité du contenu (CSP)
La directive frame-ancestors
dans CSP est la méthode recommandée pour la protection contre le Clickjacking :
frame-ancestors 'none'
- Similaire àX-Frame-Options: deny
.frame-ancestors 'self'
- Similaire àX-Frame-Options: sameorigin
.frame-ancestors trusted.com
- Similaire àX-Frame-Options: allow-from
.
Par exemple, la CSP suivante autorise uniquement l'encadrement à partir du même domaine :
Content-Security-Policy: frame-ancestors 'self';
Des détails supplémentaires et des exemples complexes peuvent être trouvés dans la documentation de la CSP frame-ancestors et dans la documentation de Mozilla sur la CSP frame-ancestors.
Politique de sécurité du contenu (CSP) avec child-src
et frame-src
child-src
et frame-src
La Politique de sécurité du contenu (CSP) est une mesure de sécurité qui aide à prévenir le Clickjacking et d'autres attaques par injection de code en spécifiant les sources que le navigateur devrait autoriser à charger du contenu.
Directive frame-src
frame-src
Définit les sources valides pour les frames.
Plus spécifique que la directive
default-src
.
Ce paramètre autorise les frames de la même origine (self) et https://trusted-website.com.
Directive child-src
child-src
Introduit dans CSP niveau 2 pour définir les sources valides pour les web workers et les frames.
Agit comme une solution de secours pour frame-src et worker-src.
Cette politique permet les frames et les workers de la même origine (self) et de https://trusted-website.com.
Notes d'utilisation:
Obsolescence: child-src est progressivement remplacé par frame-src et worker-src.
Comportement de secours: Si frame-src est absent, child-src est utilisé comme secours pour les frames. Si les deux sont absents, default-src est utilisé.
Définition stricte de la source: Inclure uniquement des sources de confiance dans les directives pour éviter l'exploitation.
Scripts JavaScript de rupture de frame
Bien que pas totalement infaillibles, des scripts de rupture de frame basés sur JavaScript peuvent être utilisés pour empêcher une page web d'être encadrée. Exemple:
Utilisation des jetons anti-CSRF
Validation du jeton : Utilisez des jetons anti-CSRF dans les applications web pour garantir que les requêtes modifiant l'état sont effectuées intentionnellement par l'utilisateur et non via une page Clickjacked.
Références
Utilisez Trickest pour construire facilement et automatiser des workflows alimentés par les outils communautaires les plus avancés au monde. Accédez dès aujourd'hui :
Last updated