Procedura di verifica iframe

Naviga le tue risposte
4

Sto lavorando per un'azienda che vuole consentire a chiunque di incorporare un iframe in cui gli utenti possono acquistare i prodotti potenzialmente su qualsiasi sito. Quindi sarebbe un tipico caso d'uso per gli utenti inserire le informazioni della loro carta di credito in questo iframe.

Sono consapevole che il clickjacking è un tipico vettore di attacco per questo tipo di configurazione. Tuttavia, quel vettore sembra che si tratti più di indurre una vittima a fare clic su un pulsante all'interno di un iframe che a indurli a compiere un'azione complessa come completare una procedura di checkout.

Cosa devo sapere prima di sentirmi a mio agio nell'implementare questo iframe:

  • Questa configurazione è ancora vulnerabile al clickjacking?
  • È possibile leggere le informazioni inserite in un iframe come questo attraverso un keylogger o div invisibili che galleggiano sopra l'iframe?
  • Quali altri potenziali vettori di attacco ci sono in una configurazione come quella che ho descritto?
  • Ci sono ulteriori considerazioni sulla sicurezza a cui dovrei pensare?
posta clarkatron 03.01.2018 - 23:35
fonte

1 risposta

4

Is it possible to read information entered into an iframe like this through a keylogger or invisible divs floating on top of the iframe?

Tecnicamente, il documento genitore non può catturare le interazioni dell'utente con l'iframe. 1 Ma il tuo problema principale qui è che l'utente non ha modo di verificare che il la scatola con cui stanno interagendo è in realtà un iframe che mostra il tuo negozio e non una copia su un dominio completamente diverso. (Anche un semplice overlay CSS sull'iframe del negozio reale funzionerebbe.)

In un sito potenzialmente non attendibile, semplicemente non è possibile stabilire un iframe attendibile con cui gli utenti possano interagire in sicurezza. Gli indicatori di sicurezza del tuo browser (che visualizzano il nome di dominio completo e l'icona di blocco verde) funzionano solo per il documento di livello superiore. Ecco perché i provider di autenticazione / pagamento utilizzano i reindirizzamenti per consentire agli utenti di eseguire l'autenticazione / checkout su un documento di livello superiore di cui possono fidarsi anziché all'interno di un frame annidato.

1 Cioè, un evento di tastiera va solo al documento padre o l'iframe. Ma non può essere catturato dal genitore ed essere comunque sparato all'interno dell'iframe.

    
risposta data 04.01.2018 - 00:51
fonte

Leggi altre domande sui tag

Wordpress 4.0 CSRF Reimposta password Cosa devo usare per l'autenticazione per la mia API di Django Rest?