Bypassare la possibilità di discutere le opzioni di x-frame

2

Questo ha qualcosa a che fare con un altro post che ho fatto: altro post

Durante la ricerca un po 'più avanti ho trovato il seguente post sul blog: blog elev

Come ho capito, questo tizio legge tutto il contenuto di un sito web e poi lo mostra nel suo iframe. In questo modo le opzioni x-frame vengono aggirate e il sito può essere visualizzato. Usa questo funzionale per testare qualcosa o l'altro.

Ci siamo incontrati pensando alle implicazioni per la sicurezza di questo.

Considera il seguente scenario:

  • Ho un sito con una pagina di accesso e imposto le opzioni x-frame su SAMEORIGIN perché non voglio essere vulnerabile agli attacchi clickjacking
  • Un utente malintenzionato crea un sito come nel blogpost e inserisce tutti i contenuti del mio sito in un iframe come riportato nel blogpost. Quindi mette sopra un iframe invisibile, che utilizzerà per raccogliere qualsiasi cosa gli utenti inseriranno nel modulo di login.
  • Un utente malintenzionato induce quindi un utente a fare clic sul suo link a un sito che ha un URL simile al mio (ad esempio mys1te.com).
  • L'utente pensa che sia il mio sito e accede
  • L'utente malintenzionato ha le credenziali dell'utente

Non è un attacco di clickjacking? E se così non fosse, allora un modo per bypassare le opzioni x-frame? E allora, in tal caso, cosa si può usare per rendere sicuro al 100% nessun clickjacking?

Sto cercando di trovare i buchi in questa storia.

    
posta Wealot 31.03.2017 - 10:51
fonte

1 risposta

3

As I understand it this guy reads all content of a website and then displays it in his iframe.

Scarica letteralmente il contenuto del sito e lo stampa sulla sua pagina. Ciò significa che il contenuto scaricato successivamente appartiene al suo dominio.

Ma l'idea di un attacco di clickjacking è che incorpori un sito da un'origine diversa in una cornice. Ad esempio, un semplice attacco clickjacking potrebbe essere che incorporo https://facebook.com/ in una cornice nascosta sul mio sito e posiziono il frame in modo tale che quando fai clic in qualsiasi punto del mio sito, fai effettivamente clic all'interno del frame e, ad esempio, involontariamente come uno dei miei post di Facebook. Ovviamente, Facebook impedisce questo scenario fornendo un'intestazione X-Frame-Options: DENY .

Tuttavia, se procedo come nel post del blog e scarico la pagina Facebook nel mio dominio per poi inserirla nel mio frame, ciò sarebbe inutile perché fare clic sulla mia copia scaricata della pagina non attiverebbe alcuna azione sul vero sito Facebook.

  • An attacker then tricks a user to click on his link to a site that has an url similar to mine (e.g. mys1te.com).
  • The user thinks it is my site and logs in

Ciò che descrivi sembra più un attacco di phishing. Copiare il contenuto di una pagina diversa e renderlo simile all'originale sarà sempre possibile.

    
risposta data 31.03.2017 - 14:56
fonte

Leggi altre domande sui tag