7 Bezpieczeństwo stron WWW 4 minuty czytania

Clickjacking

Reklama Na Blogach Ostatnie informacje na temat dopisywania się kawałków kodu iframe do stron, obawiam się, że można połączyć z nową techniką ataków na komputery. Jest nią clickjacking i w wielkim skrócie chodzi – zresztą jak sama nazwa wskazuje – przechwytywanie kliknięć.

O istnieniu tego ataku dowiedziałem się z najnowszego numeru hackin9 7-8/2009 (50).

Te ataki o których informowałem na początku mają jak się potem okazało występowały w kilku wersjach:

  1. Dołączany był iframe, który ładował jakieś śmieci,
  2. Wklejany był na stronę kod JavaScript.

Idea

W skrócie chodzi o to, aby przejąć kliknięcia Internauty na zarażonej stronie i to bez użycia JavaScriptu czy PHP. Cała sztuczka polega na zabawach z CSS (głównie z-index i opacity). Ukrywa się iframe, który może wzbudzać jakieś wątpliwości, a potem nakłada się ją na stronę w taki sposób aby zakryła tą atakowaną (pozycja absolutna, maksymalna szerokość i wysokość oraz ukrycie pasków przewijania). Potem to już „zmuszenie” użytkownika do kliknięcia.

Kto korzysta z tego?

Głównie spamerzy, którzy chcą zwiększyć sobie ilość kliknięć w reklamy.

Jak się bronić?

Jednym z rozwiązań jest tzw. ucieczka z ramek czyli przekierowanie przeglądarki na „nasz adres”. Robi się to tym dwuliniowym kodem.

if( top != self )
	top.location.href = self.location.href;

Nie wiem dlaczego, ale autor (Marco Lisci - makaroniarz ;) tego artykułu często wspomina że użytkownicy często wyłączają obsługę JS głównie ze względów bezpieczeństwo. Bardzo mnie to zastanawia, bo spotkałem się z opiniami, że tak robi bardzo mały odsetek Internautów. Reszta nie wie lub nie jest zorientowana w tym temacie.

W artykule są podane przykładowe kody html i css. Myślę że warto się tym zainteresować.



Raz w miesiącu e-mail z najlepszymi artykułami

Zdjęcie autora wpisu - Piotr Cichosz

Piotr Cichosz — autor wpisu

Frontend developer. Tworzę zaawansowane systemy webowe w JS. Swoją wiedzę nt. SEO wykorzystuję do rozwijania własnych projektów (z lepszym lub gorszym efektem). Dużo eksperymentuję i staram się określić jak bardzo można nagiąć cierpliwość algorytmów Google (:.

Komentarze 7

author Michał www 16.07.2009 15:54:13

Te iframe'y były rzeczywiście irytujące. Przechodziłem to dwa razy. Co się okazało winny wszystkiemu był klient ftp Total Commander, który podobno zapisuje hasła do serwerów gdzieś na dysku. Robak wykradł te hasła i w nocy zalogował się na serwer od razu dodając do każdego pliku index (.php, .html) swój spamerski kod. Kiedy to wszystko usunąłem - kolejnej nocy zrobił to samo :-/ Potem poszperałem w necie i znalazłem przyczynę - TC. Od tej pory używam FileZilli... Spamerzy viagry i innych pigułek rzeczywiście nie przebierają w środkach.

author LBO www 17.07.2009 08:11:25

Jeff Atwood skrobnął, swojego czasu, kilka akapitów na ten temat.

http://www.codinghorror.com/blog/archives/001277.html

author Rulz www 18.07.2009 19:28:52

Michał: Filezilla robi to samo! Tj. zapisuje hasła na dysku czystym tekstem

author Daniel www 19.07.2009 20:13:11

Polecam instalację dodatku do Firefoxa o nazwie NoScript. Swego czasu autor się chwalił że jest pierwszym który wprowadził takie zabezpieczenie. Fakt, parę razy wyświetliły mi się jakieś ostrzeżenia :)

author kosa www 22.09.2009 01:34:17

Niestety I nas ten problem spotkal za przyczyna tc!

author Kamil Brenk www 22.07.2010 14:21:37

Napisałem też co nieco na temat obrony przez Clickjackingiem (i przy okazji XSS). Być może komuś się przyda:

http://blog.kamilbrenk.pl/bezpieczne-naglowki-http/

Pozdrawiam
;)

author Wojtek 04.09.2015 22:30:44

Zrozumiałem wreszcie o co w tym chodzi. Firefox ma swoje rozwiązanie a co w przypadku Opery zrobić?

Dodaj komentarz