Vulnerabilità del clickjacking dei download degli allegati di file?

2

Una parte del nostro sistema espone un gestore di file HTTP che trasmette un file al client a condizione che l'autenticazione e l'ID del file siano corretti, e nessuna risposta in caso contrario.

Il server ASP.net su cui è ospitato è istruito per aggiungere un'intestazione X-Frame-Options a tutte le risposte, e lo fa doverosamente per le pagine standard. Per qualsiasi motivo, non lo fa per questo gestore.

Una scansione automatica ha identificato questo come una vulnerabilità di clickjacking, anche se sto cercando di capire perché questo sarebbe il caso. Il file viene trasmesso come Content-Disposition: attachment e quindi scaricato, anziché essere visualizzato nel browser in un modo che potrebbe aprire una vulnerabilità con una sovrapposizione sul contenuto PDF, ad esempio.

Il mio intestino è a destra, che non rappresenta una vulnerabilità? O c'è un caso che ho trascurato? Potrei, naturalmente, aggiungere l'intestazione comunque, anche se non sono sicuro che si tratti di un errore speculare.

    
posta Dan 01.08.2018 - 14:20
fonte

2 risposte

0

Non è esattamente un falso positivo, non sono sicuro al 100% che tutti i tipi di contenuto verranno scaricati anziché visualizzati in tutti i browser. Quindi, a meno che non ci sia un contenuto controllato dall'utente o combinato con un bug del browser, non riesco a vederlo utile / sfruttabile in natura. Puoi semplicemente modificare il codice per sputare l'intestazione accanto alla disposizione del contenuto se vuoi che lo scanner / o il tester smettano di segnalarlo,

    
risposta data 02.08.2018 - 13:07
fonte
0

Il mio verdetto

Non si può avere il clickjacking sulle pagine statiche come vulnerabilità valida o pertinente, non mi farebbe comunque male saltare quelle intestazioni intenzionalmente su pagine statiche come quella degli allegati a meno che non si tratti di un endpoint API.

Consigli professionali

Si, si, è il falso positivo e l'unica ragione per cui ti consiglia di andare per programmi di taglie bug per la tua azienda e sconsigliato di far funzionare lo scanner automatico, nemmeno netsparker che costa qualche migliaio di dollari. Se hai scelto quest'ultima opzione, insegna a te stesso le competenze di base per capire che cosa è un falso positivo e che questi scanner hanno una precisione molto inferiore rispetto alle tecniche di test manuali.

No, non è una vulnerabilità . Il clickjacking per gli standard del settore del giorno richiede che un utente malintenzionato sia in grado di sfruttarlo dal punto di vista della possibilità di costringere l'utente a eseguire un'azione che cambia lo stato nel contesto dell'utente. Giudicare il fatto dall'università di Google BugHunter che afferma che il clickjacking che può avere un impatto sullo stato degli utenti sull'account dell'utente è idoneo solo per il loro VRP.

Che cos'è uno scenario di attacco valido come rigorosamente in termini tecnici?

Quindi diciamo che l'attaccante può rendere il frame nascosto sotto un pulsante, ora fa clic su quel pulsante su un utente inconsapevole e questo porta all'utente a cancellare tutti i suoi dati e account. Allora sì, è un vettore di attacco valido ed è di priorità P4 per un ingegnere della sicurezza medio come me.

Ulteriori chiarimenti

Chiediti ancora, può essere utilizzato per il phishing da un utente malintenzionato o può realizzare qualcosa di utile incorporando un allegato all'interno di un frame o iframe, può registrare le sequenze di tasti dell'utente vittima con l'aiuto di incorporare l'allegato in un iframe ? Beh, la semplice risposta è no , non.

Inoltre, puoi leggere il mio articolo link su DZone che è stato distribuito a migliaia di sviluppatori tramite digest settimanale. Deve essere una buona lettura per te, basta ignorare i refusi fatti dal loro team editoriale.

    
risposta data 01.09.2018 - 14:31
fonte

Leggi altre domande sui tag