Clickjacking su un sito senza account utente

1

La mia comprensione degli attacchi di clickjacking è che un utente malintenzionato potrebbe incorporare il mio sito nel suo. L'aggressore usa quindi uno stile intelligente per indurre l'utente a compiere azioni sul mio sito, che non intendevano eseguire.
Supponiamo che il mio sito non abbia il concetto di un account utente in cui qualcuno potrebbe eseguire più azioni, di quanto si possa fare senza effettuare il login.
Quindi un attacco clickjacking è ancora applicabile al mio sito?

Più in particolare, se consento agli utenti di acquistare cose sul mio sito ma richiedono loro di inserire le loro informazioni personali e CC ogni volta perché non hanno un "account" con il sito posso consentire che il mio sito sia incorporato in iFrame di altri siti?

    
posta Gus 09.02.2015 - 16:30
fonte

3 risposte

2

Suppose my site does not have the concept of a user account... Then is a clickjacking attack still applicable to my site?

Anche se non ci sono account, se esiste un concetto di sessioni utente, allora potrebbe applicarsi Clickjacking. Tutto dipende da ciò che viene archiviato a livello di sessione.

Il modo migliore per pensare a questo è che se il tuo sito ricorda lo stato a livello di sessione e non stai impostando X-Frame-Options per evitare il framing, quindi un utente malintenzionato potrebbe ingannare un utente a inviare queste informazioni sullo stato per eseguire un'azione.

L'altro requisito sarebbe un elemento cliccabile da qualche parte sul tuo sito, di solito un pulsante, che non richiede alcun input sulla pagina ad eccezione del clic.

Il clickjacking è una sorta di "modo per aggirare" la protezione CSRF su pagine in cui non è richiesto alcun input da parte dell'utente per inviarle.

Un esempio:

  1. L'utente aggiunge un "widget" al suo carrello sul tuo sito.
  2. L'utente va al checkout e inserisce le informazioni personali e i dettagli della carta.
  3. Questa informazione viene memorizzata sul lato server nella sessione utente, identificata tramite un token casuale memorizzato in un cookie.
  4. L'utente viene reindirizzato a una pagina di conferma in modo che possano controllare i dettagli prima di inviare l'ordine: una richiesta GET a example.com/confirm.php mostra il loro ordine e possono fare clic su un pulsante di invio per completare l'ordine che invia un modulo vuoto ( ad eccezione di un token CSRF) risultante in una richiesta POST a complete.php .

Ora un utente malintenzionato potrebbe incorniciare la pagina confirm.php e visualizzare un altro pulsante in alto, in modo tale che quando l'utente fa clic sul pulsante, invia l'ordine al sito. Forse questo potrebbe essere combinato con una vulnerabilità CSRF altrove per aggiungere elementi al paniere di un utente, e potrebbe essere eseguito in un punto in cui è noto che la sessione è popolata (forse l'attaccante ha acquisito il controllo di uno dei siti dell'inserzionista che vengono visualizzati dopo il primo checkout dell'utente e questa vulnerabilità consente loro di farlo di nuovo con un elemento scelto dall'attaccante).

Quindi sì, il tuo sito potrebbe essere vulnerabile e dipende dai dettagli specifici dell'implementazione e dal modello di business del tuo sito per vedere se rappresenta una vera minaccia o meno.

    
risposta data 10.02.2015 - 12:55
fonte
1

Sì, il tuo sito può essere clickjacked, indipendentemente dal fatto che tu abbia o meno account utente.
Se gli utenti hanno account sul tuo sito, allora l'attacco clickjacking può essere effettuato contro l'account. Ma si potrebbe anche eseguire un attacco di clickjacking contro qualche altro aspetto del bersaglio.

Wikipedia ha un alcuni esempi : inducendo un utente a abilitare la propria webcam, a seguire qualcuno su Twitter, o fagli "piacere" qualcosa su Facebook.

Il fatto che i nostri utenti non abbiano un account non li protegge da un attacco di clickjacking. Se il clickjacker è dopo il numero della carta di credito, il requisito per l'utente di digitare tutte le informazioni rende più facile per il clickjacker ottenere anche i dati personali.

    
risposta data 09.02.2015 - 16:43
fonte
0

Il clickjacking può essere fatto al tuo sito. Se l'utente autenticato è connesso alla tua applicazione e l'utente malintenzionato gli manda un link malevolo, quando l'utente fa clic su quel link otterrà un sito con un clic su questo pulsante. Sotto il click qui Button ci sarà un Iframe del tuo sito per eliminare l'utente. Quando l'utente fa clic sul pulsante Fai clic qui il suo account verrà eliminato. Ulteriori informazioni sul clickjacking

    
risposta data 10.02.2015 - 05:28
fonte

Leggi altre domande sui tag