A quanto ho capito, questo è il modo in cui un utente malintenzionato potrebbe sfruttare il clickjacking:
- Crea un nuovo sito web malicioussite.com che include il mio sito in una cornice, ma sovrappone campi o pulsanti di input dannosi sugli elementi HTML del mio sito.
- Invia email di phishing per fare in modo che gli utenti facciano clic sul link che si trova su malicioussite.com anziché sul mio sito (o usi qualche altra tecnica per distribuire il link di phishing).
- Gli utenti inseriscono i dati in o fanno clic sugli elementi dannosi.
- Utile
Gli utenti esperti non farebbero clic sul collegamento o noteranno che la barra degli indirizzi non è corretta. Tuttavia, molta gente probabilmente non se ne accorgerebbe.
La mia domanda è questa: l'attaccante non può ottenere la stessa cosa usando malicioussite.com come proxy inverso? Tutti i passaggi precedenti sarebbero gli stessi, tranne che malicioussite.com inoltrerebbe le richieste al mio sito e quindi inserirà un tag <script>
aggiuntivo nella risposta HTML per eseguire il codice dannoso e aggiungere gli elementi HTML dannosi. L'intestazione X-FRAME-OPTIONS
non sarebbe di aiuto in questo caso perché non ci sono frame (e il proxy inverso può eliminarli comunque).
L'attacco si basa sull'utente che non controlla la barra degli indirizzi, quindi se l'attaccante può implementare lo stesso attacco in un modo diverso che non può essere sconfitto, perché preoccuparsi di X-FRAME-OPTIONS
o altre protezioni di clickjacking?