La politica di sicurezza del contenuto contro il clickjacking non riesce con PoC statico

2

Ho un dubbio sull'uso del Content Security Policy (CSP) come meccanismo di protezione contro il clickjacking.

Ho creato una prova di concetto (PoC) online su una pagina Web in cui ho inserito un pulsante che carica l'URL specificato in un campo di input che è attivo e in esecuzione su un server. Questo PoC serve per verificare se un sito è vulnerabile o meno e, in base a ciò, ho testato un sito che utilizza CSP per prevenire attacchi di tipo clickjacking. Il risultato sul mio PoC online mi dice che il sito non è vulnerabile perché non sono in grado di inquadrarlo, tuttavia, se ripeto il test utilizzando il modello statico fornito nel sito OWASP, allora sono in grado di vedere il contenuto della pagina web all'interno dell'elemento.

Quindi, ritengo che il sito potrebbe essere ancora vulnerabile e vorrei conoscere la tua opinione.

Ho notato che il CSP non viene restituito nell'intestazione quando utilizzo il PoC statico, credi che si tratti di un errore di programmazione che rende vulnerabile il sito?

Qualcuno l'ha mai provato prima?

    
posta Lennin 12.12.2016 - 18:24
fonte

3 risposte

1

Dato che "PoC statico" è solo un file statico caricato dal disco, ovviamente non è coinvolto alcun server HTTP. Questo significa che non c'è alcun protocollo HTTP coinvolto nel servire i dati e quindi non esiste alcuna intestazione HTTP dove è impostata l'intestazione CSP. Ciò significa che il tuo PoC statico per CSP non è affatto un test per CSP poiché non è stato dichiarato alcun criterio CSP nel test. E senza una politica CSP dichiarata, nessuna sarà applicata.

    
risposta data 13.12.2016 - 06:36
fonte
0

Affinché CSP impedisca il clickjacking tramite l'uso di Iframe, il criterio CSP deve impostare la direttiva di politica frame-ancestors che è un elenco di siti consentiti.

Se il sito restituisce questo errore che riceverai nella console degli sviluppatori sarà:

"Rifiutato di visualizzare" link "in un frame perché un antenato viola la seguente direttiva Content Security Policy:" auto frame-ancestors " '... ... ".

    
risposta data 12.12.2016 - 22:52
fonte
0

Nessun server, nessun header HTTP. Quindi, in sostanza, nessun CSP viene applicato. Getta il tuo poc su un server attuale, sembra che tu stia semplicemente servendo un file dal tuo disco locale.

    
risposta data 09.09.2017 - 19:23
fonte

Leggi altre domande sui tag