Come ottenere le informazioni dall'iframe visualizzato (ClickJack) all'utente indietro all'attaccante?

Question

Come ottenere le informazioni dall'iframe visualizzato (ClickJack) all'utente indietro all'attaccante?

#1 da (0 voti)
#2 da (0 voti)

-1

Solo per conoscenza voglio sapere come ottenere le informazioni dall'i-frame visualizzato all'utente verso l'attaccante?

Scenario:

Supponiamo che tu sia un utente malintenzionato e desideri acquisire le informazioni private degli utenti che vengono visualizzate su una pagina Web solo per loro. Quindi, si trova una vulnerabilità di clickjacking su quella pagina Web e si decide di usarla per afferrare le informazioni private degli utenti.

Supponendo che la pagina Web sia: link

Ora, quando Victim apre la pagina di ClickJack, le sue informazioni devono essere inviate all'attaccante.

Ho provato a creare codice js ma funzionava perfettamente se la pagina ClickJack si trovava sullo stesso host. Non funzionava su un sito Web esterno.

Hai idea di come potrei creare la Pagina di ClickJack?

html web-application penetration-test

posta Deepanshu Singh 10.10.2014 - 07:46

fonte

2 risposte

Leggi altre domande sui tag html web-application penetration-test

Il modo corretto di verificare la vulnerabilità CVE-2014-7169 (aftershock) Controllo completo su crittografia vs affidamento su certificato esterno [chiuso]

score 0 · Answer 1

Che ne dici di inviare le informazioni al server locale e quindi utilizzare una tecnologia di back-end (PHP?) per inviarlo al server di terze parti?

Il tuo browser lo sta impedendo come misura di sicurezza (chiamata AJAX a un server di terze parti)

score 0 · Answer 2

La risposta è: non lo fai. Come hai visto, il tuo tentativo di ottenere informazioni dall'iframe all'autore dell'attacco ha funzionato quando il genitore e l'iframe provenivano dallo stesso dominio.

Quando i domini sono diversi, le informazioni contenute nell'iframe figlio non possono essere lette dal genitore. Vedi Norme sulla stessa origine .

Per il clickjacking, il frame genitore fornirebbe un livello invisibile usando javascript che passa sopra i controlli nel child in modo che quando un utente legittimo cerca di fare clic sui controlli legittimi nel frame secondario, in realtà fanno clic sui controlli forniti dall'attaccante. Questo è il motivo per cui il clickjacking è anche conosciuto come UI Redressing.