Clickjacking
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
W ataku clickjacking, użytkownik jest oszukiwany do kliknięcia w element na stronie internetowej, który jest albo niewidoczny, albo przebrany za inny element. Ta manipulacja może prowadzić do niezamierzonych konsekwencji dla użytkownika, takich jak pobieranie złośliwego oprogramowania, przekierowanie na złośliwe strony internetowe, udostępnienie danych logowania lub informacji wrażliwych, przelewy pieniędzy lub zakupy produktów online.
Czasami możliwe jest wypełnienie wartości pól formularza za pomocą parametrów GET podczas ładowania strony. Atakujący może nadużyć tego zachowania, aby wypełnić formularz dowolnymi danymi i wysłać ładunek clickjacking, aby użytkownik nacisnął przycisk Wyślij.
Jeśli potrzebujesz, aby użytkownik wypełnił formularz, ale nie chcesz bezpośrednio prosić go o wpisanie jakichś konkretnych informacji (jak e-mail lub konkretne hasło, które znasz), możesz po prostu poprosić go o przeciągnięcie i upuszczenie czegoś, co zapisze twoje kontrolowane dane, jak w tym przykładzie.
Jeśli zidentyfikowałeś atak XSS, który wymaga, aby użytkownik kliknął na jakiś element, aby wywołać XSS, a strona jest vulnerable to clickjacking, możesz to wykorzystać, aby oszukać użytkownika do kliknięcia przycisku/linku. Przykład: Znalazłeś self XSS w niektórych prywatnych szczegółach konta (szczegóły, które tylko ty możesz ustawić i odczytać). Strona z formularzem do ustawienia tych szczegółów jest vulnerable na Clickjacking i możesz wstępnie wypełnić formularz parametrami GET. __Atakujący mógłby przygotować atak Clickjacking na tę stronę wstępnie wypełniając formularz ładunkiem XSS i oszukując użytkownika do wysłania formularza. Tak więc, gdy formularz zostanie wysłany i wartości zostaną zmodyfikowane, użytkownik wykona XSS.
Skrypty wykonywane po stronie klienta mogą podejmować działania, aby zapobiec Clickjacking:
Zapewnienie, że okno aplikacji jest głównym lub górnym oknem.
Uczynienie wszystkich ramek widocznymi.
Zapobieganie kliknięciom w niewidoczne ramki.
Wykrywanie i informowanie użytkowników o potencjalnych próbach Clickjacking.
Jednak te skrypty do łamania ramek mogą być obejście:
Ustawienia zabezpieczeń przeglądarek: Niektóre przeglądarki mogą blokować te skrypty w zależności od ich ustawień zabezpieczeń lub braku wsparcia dla JavaScript.
Atrybut sandbox iframe HTML5: Atakujący może zneutralizować skrypty do łamania ramek, ustawiając atrybut sandbox z wartościami allow-forms lub allow-scripts bez allow-top-navigation. To uniemożliwia iframe weryfikację, czy jest górnym oknem, np.,
The allow-forms and allow-scripts values enable actions within the iframe while disabling top-level navigation. To ensure the intended functionality of the targeted site, additional permissions like allow-same-origin and allow-modals might be necessary, depending on the attack type. Browser console messages can guide which permissions to allow.
The X-Frame-Options HTTP response header informs browsers about the legitimacy of rendering a page in a <frame> or <iframe>, helping to prevent Clickjacking:
X-Frame-Options: deny - Żaden domena nie może osadzić treści.
X-Frame-Options: sameorigin - Tylko bieżąca strona może osadzić treść.
X-Frame-Options: allow-from https://trusted.com - Tylko określony 'uri' może osadzić stronę.
Zauważ ograniczenia: jeśli przeglądarka nie obsługuje tej dyrektywy, może nie działać. Niektóre przeglądarki preferują dyrektywę CSP frame-ancestors.
frame-ancestors directive in CSP is the advised method for Clickjacking protection:
frame-ancestors 'none' - Podobnie jak X-Frame-Options: deny.
frame-ancestors 'self' - Podobnie jak X-Frame-Options: sameorigin.
frame-ancestors trusted.com - Podobnie jak X-Frame-Options: allow-from.
For instance, the following CSP only allows framing from the same domain:
Content-Security-Policy: frame-ancestors 'self';
Further details and complex examples can be found in the frame-ancestors CSP documentation and Mozilla's CSP frame-ancestors documentation.
child-src and frame-srcContent Security Policy (CSP) is a security measure that helps in preventing Clickjacking and other code injection attacks by specifying which sources the browser should allow to load content.
frame-src DirectiveDefiniuje ważne źródła dla ramek.
Bardziej szczegółowe niż dyrektywa default-src.
Ta polityka pozwala na ramki z tego samego pochodzenia (self) oraz https://trusted-website.com.
child-srcWprowadzona w poziomie 2 CSP w celu ustawienia ważnych źródeł dla pracowników sieciowych i ramek.
Działa jako zapas dla frame-src i worker-src.
Ta polityka pozwala na ramki i pracowników z tego samego pochodzenia (self) oraz https://trusted-website.com.
Uwagi dotyczące użytkowania:
Deprecacja: child-src jest stopniowo wycofywane na rzecz frame-src i worker-src.
Zachowanie w przypadku braku: Jeśli frame-src jest nieobecne, child-src jest używane jako zapasowe dla ramek. Jeśli oba są nieobecne, używane jest default-src.
Ścisła definicja źródła: Uwzględnij tylko zaufane źródła w dyrektywach, aby zapobiec wykorzystaniu.
Chociaż nie są całkowicie niezawodne, skrypty łamiące ramki oparte na JavaScript mogą być używane do zapobiegania osadzaniu strony internetowej w ramkach. Przykład:
Walidacja tokenów: Użyj tokenów anti-CSRF w aplikacjach internetowych, aby upewnić się, że żądania zmieniające stan są wykonywane celowo przez użytkownika, a nie przez stronę Clickjacked.
Użyj Trickest, aby łatwo budować i automatyzować przepływy pracy zasilane przez najbardziej zaawansowane narzędzia społecznościowe na świecie. Uzyskaj dostęp już dziś:
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
