In che modo questo test dimostra che la mia applicazione è vulnerabile agli attacchi di clickjacking?

11

Voglio sapere di più sul clickjacking. Ho letto un articolo su clickjacking , in cui è stato fornito il codice HTML per verificare la vulnerabilità di clickjacking. Ho provato la stessa cosa descritta in quell'articolo, e ho ricevuto il messaggio “You’ve been clickjacked!” nella parte superiore della pagina, ad indicare che la mia applicazione web è vulnerabile a questo tipo di attacco:

To test whether a site is vulnerable to clickjacking, create an HTML page similar to the following, changing the URL highlighted in RED to point to your target site:

<html>
  <head>
    <title>Clickjack test page</title>
  </head>
  <body>
    <p>You’ve been clickjacked!</p>
    <iframe sandbox="allow-scripts allow-forms" src="http://localhost:8080"style="width:100%;height:90%"></iframe>
  </body>
</html>

If you see the text “You’ve been clickjacked!” at the top of the page, your site is vulnerable.

In che modo ciò dimostra che il mio sito web è vulnerabile?

    
posta lakshmi Prudhvi 01.07.2013 - 12:07
fonte

4 risposte

4

La tua pagina web può essere inserita in un iframe.

Un utente malintenzionato può facilmente collocare il tuo sito in un iframe sulla sua pagina Web, mascherarne abilmente la maggior parte e indurre l'utente a fare clic su un pulsante.

A causa di CORS e CSRF token, in genere i siti web con un dominio diverso non possono falsificare richieste al tuo sito web. Tuttavia, possono indurre l'utente a fare clic sui pulsanti (ad esempio, il pulsante "logout".)

Leggi questa pagina OWASP per sapere come proteggersi dal clickjacking

    
risposta data 01.07.2013 - 12:53
fonte
4

Consenti alla pagina web di essere incorniciata da un altro dominio rispetto a quelli sotto il tuo controllo. Leggi l' articolo OWASP sul clickjacking.

There are two main ways to prevent clickjacking:

  1. Sending the proper browser response headers that instruct the browser to not allow framing from other domains
  2. Employing defensive code in the UI to ensure that the current frame is the most top level window

Dimostra che la tua applicazione è frameless da altri domini e quindi, click-jackable.

    
risposta data 01.07.2013 - 12:55
fonte
1

È capitato di imbattersi in questa domanda e ho pensato di fare il chip per chiarire qual è il problema con quel test. Non è veramente scorretto, ma rappresenta solo lo script di difesa del clickjacking menzionato sulla pagina. Non tiene conto della difesa dell'intestazione X-FRAME-OPTIONS.

Se esegui quel test ci sono un paio di cose che potrebbero accadere:

  • Il testo del clickjack scompare: Ciò significa che esiste una difesa javascript e che non esiste alcuna difesa dell'intestazione o il tuo browser non la supporta.
  • Il testo del clickjack è ancora presente ma nell'iframe non compare nulla: Ciò significa che esiste una difesa dell'intestazione e il tuo browser lo supporta. Non puoi sapere se la difesa javascript è implementata perché la pagina iframe non viene mai caricata.
  • Il testo del clickjack è ancora lì, e il sito è caricato nell'iframe: Ciò significa che non esiste una difesa javascript e che non esiste alcuna difesa dell'intestazione o il tuo browser non lo supporta.

Come mostra la seconda opzione, la pagina può essere adeguatamente protetta, ma si vede ancora il testo del clickjack. Per essere sicuro, probabilmente è meglio eseguire il test sia con un browser moderno che con un vecchio browser senza il supporto di X-FRAME-OPTIONS.

Naturalmente, entrambe le difese dovrebbero essere implementate. La difesa dell'intestazione è rivolta ai browser moderni, mentre la difesa javascript protegge i browser legacy.

Controlla link per ulteriori informazioni.

    
risposta data 25.11.2013 - 22:13
fonte
0

Ho provato il link sito web al posto di localhost che hai lassù e continua a mostrare che sei stato sottoposto a clickjack. Non penso che vedere quel messaggio sia l'indicazione che il tuo sito è vulnerabile. Piuttosto se vedi la tua pagina web in iframe con quel messaggio significa che è click jackable. Correggimi se sbaglio.

    
risposta data 08.10.2013 - 17:14
fonte

Leggi altre domande sui tag