Se il sito non è caricato nel frame, il sito è vulnerabile al click jacking.

Naviga le tue risposte
1

È arrivata a questa domanda in SE Come funziona questo test dimostra che la mia applicazione è vulnerabile agli attacchi di clickjacking? Ho una domanda e un dubbio di follow-up, per favore aiutami a chiarirlo.

Come da link 

<html>
   <head>
     <title>Clickjack test page</title>
   </head>
   <body>
     <p>Website is vulnerable to clickjacking!</p>
     <iframe src="http://www.target.site"width="500" height="500"></iframe>
   </body>
</html>

dice

Risultato previsto: se è possibile vedere sia il testo "Il sito Web è vulnerabile al click jacking!" al parte superiore della pagina e la pagina Web di destinazione caricata correttamente nel frame, quindi il sito è vulnerabile e non ha alcun tipo di protezione contro gli attacchi Click Jacking. Ora puoi direttamente creare una "prova di concetto" per dimostrare che un utente malintenzionato potrebbe sfruttare questa vulnerabilità.

Quindi, se il testo viene visualizzato e il sito non viene caricato correttamente, significa che il sito non è vulnerabile?

    
posta Rndp13 19.11.2015 - 11:09
fonte

1 risposta

2

Per fare clic su jacking, il sito dovrebbe essere completamente caricato nel frame, solo quando è possibile fare clic su jacking, il che significa che puoi caricare correttamente il sito web dell'attaccante nella pagina web della vittima in cui sta attualmente utilizzando.

Quindi, se il testo viene visualizzato e il sito non viene caricato correttamente, vuol dire che il sito non è vulnerabile?

Se il testo viene visualizzato e il sito non viene caricato correttamente, non vi è alcuna vulnerabilità di click jacking

    
risposta data 19.11.2015 - 11:57
fonte

Leggi altre domande sui tag

Sicurezza dei dati memorizzati su sim card Il malware OnionDuke può effettivamente diffondersi a nuovi sistemi tramite un'immagine?