Questo ha qualcosa a che fare con un altro post che ho fatto: altro post
Durante la ricerca un po 'più avanti ho trovato il seguente post sul blog: blog elev
Come ho capito, questo tizio legge tutto il contenuto di un sito web e poi lo mostra nel suo iframe. In questo modo le opzioni x-frame vengono aggirate e il sito può essere visualizzato. Usa questo funzionale per testare qualcosa o l'altro.
Ci siamo incontrati pensando alle implicazioni per la sicurezza di questo.
Considera il seguente scenario:
- Ho un sito con una pagina di accesso e imposto le opzioni x-frame su SAMEORIGIN perché non voglio essere vulnerabile agli attacchi clickjacking
- Un utente malintenzionato crea un sito come nel blogpost e inserisce tutti i contenuti del mio sito in un iframe come riportato nel blogpost. Quindi mette sopra un iframe invisibile, che utilizzerà per raccogliere qualsiasi cosa gli utenti inseriranno nel modulo di login.
- Un utente malintenzionato induce quindi un utente a fare clic sul suo link a un sito che ha un URL simile al mio (ad esempio mys1te.com).
- L'utente pensa che sia il mio sito e accede
- L'utente malintenzionato ha le credenziali dell'utente
Non è un attacco di clickjacking? E se così non fosse, allora un modo per bypassare le opzioni x-frame? E allora, in tal caso, cosa si può usare per rendere sicuro al 100% nessun clickjacking?
Sto cercando di trovare i buchi in questa storia.