Come rubare il codice sorgente tramite clickjacking?

2

È possibile rubare il codice sorgente tramite clickjacking, in modo che l'attaccante possa anche rubare i token CSRF?

Questo è un sito web di attacco dimostrativo:

<!DOCTYPE html>
<html>

</div>
<div draggable="true" ondragstart="test();">
<h3>DRAG ME!!</h3>
<script>

function test(){

    var v1 = document.createElement('iframe');
    v1.src = "http://demo.testfire.net/search.aspx?txtSearch="
    v1.setAttribute("style", "opacity:0.5");
    v1.setAttribute("border", "0");
    v1.setAttribute("scrolling", "0");
    v1.setAttribute("id", "pi");

    document.body.appendChild(v1);

    document.getElementById("pi").onload =function(){
        alert(this.responseText);
    }

}

</script>
</html>

Ora come puoi vedere sto cercando di rubare il codice sorgente con l'aiuto di una finestra di avviso. Ma non ci sono riuscito.

Cosa mi manca qui?

    
posta Utkarsh Agrawal 28.01.2018 - 12:47
fonte

1 risposta

6

Non è possibile utilizzare il clickjacking per ottenere l'accesso incrociato al codice sorgente di una pagina web. Questo accesso è limitato dalla politica della stessa origine e il clickjacking non lo ignora. Ciò significa che, come per un attacco CSRF, puoi causare un'azione di origine incrociata con il clickjacking ma non puoi leggere il risultato di questa azione.

Grazie ad Arminius per aver segnalato in un commento che era possibile estrarre il contenuto utilizzando il clickjacking utilizzando il trascinamento della selezione tra origini. Vedi ad esempio Clickjacking 2.0 con drag & rilascia o questo bug per Firefox . Questo sembra essere vietato nei browser da un po 'di tempo, quindi i browser moderni non dovrebbero più essere influenzati da questo.

    
risposta data 28.01.2018 - 13:53
fonte

Leggi altre domande sui tag