Clickjacking
Ostatnie informacje na temat dopisywania się kawałków kodu iframe do stron, obawiam się, że można połączyć z nową techniką ataków na komputery. Jest nią clickjacking i w wielkim skrócie chodzi – zresztą jak sama nazwa wskazuje – przechwytywanie kliknięć.
O istnieniu tego ataku dowiedziałem się z najnowszego numeru hackin9 7-8/2009 (50).
Te ataki o których informowałem na początku mają jak się potem okazało występowały w kilku wersjach:
- Dołączany był iframe, który ładował jakieś śmieci,
- Wklejany był na stronę kod JavaScript.
Idea
W skrócie chodzi o to, aby przejąć kliknięcia Internauty na zarażonej stronie i to bez użycia JavaScriptu czy PHP. Cała sztuczka polega na zabawach z CSS (głównie z-index
i opacity
). Ukrywa się iframe, który może wzbudzać jakieś wątpliwości, a potem nakłada się ją na stronę w taki sposób aby zakryła tą atakowaną (pozycja absolutna, maksymalna szerokość i wysokość oraz ukrycie pasków przewijania). Potem to już „zmuszenie” użytkownika do kliknięcia.
Kto korzysta z tego?
Głównie spamerzy, którzy chcą zwiększyć sobie ilość kliknięć w reklamy.
Jak się bronić?
Jednym z rozwiązań jest tzw. ucieczka z ramek czyli przekierowanie przeglądarki na „nasz adres”. Robi się to tym dwuliniowym kodem.
if( top != self ) top.location.href = self.location.href;
Nie wiem dlaczego, ale autor (Marco Lisci - makaroniarz ;) tego artykułu często wspomina że użytkownicy często wyłączają obsługę JS głównie ze względów bezpieczeństwo. Bardzo mnie to zastanawia, bo spotkałem się z opiniami, że tak robi bardzo mały odsetek Internautów. Reszta nie wie lub nie jest zorientowana w tym temacie.
W artykule są podane przykładowe kody html i css. Myślę że warto się tym zainteresować.
Komentarze 7
Te iframe'y były rzeczywiście irytujące. Przechodziłem to dwa razy. Co się okazało winny wszystkiemu był klient ftp Total Commander, który podobno zapisuje hasła do serwerów gdzieś na dysku. Robak wykradł te hasła i w nocy zalogował się na serwer od razu dodając do każdego pliku index (.php, .html) swój spamerski kod. Kiedy to wszystko usunąłem - kolejnej nocy zrobił to samo :-/ Potem poszperałem w necie i znalazłem przyczynę - TC. Od tej pory używam FileZilli... Spamerzy viagry i innych pigułek rzeczywiście nie przebierają w środkach.
Jeff Atwood skrobnął, swojego czasu, kilka akapitów na ten temat.
http://www.codinghorror.com/blog/archives/001277.html
Michał: Filezilla robi to samo! Tj. zapisuje hasła na dysku czystym tekstem
Polecam instalację dodatku do Firefoxa o nazwie NoScript. Swego czasu autor się chwalił że jest pierwszym który wprowadził takie zabezpieczenie. Fakt, parę razy wyświetliły mi się jakieś ostrzeżenia :)
Niestety I nas ten problem spotkal za przyczyna tc!
Napisałem też co nieco na temat obrony przez Clickjackingiem (i przy okazji XSS). Być może komuś się przyda:
http://blog.kamilbrenk.pl/bezpieczne-naglowki-http/
Pozdrawiam
;)
Zrozumiałem wreszcie o co w tym chodzi. Firefox ma swoje rozwiązanie a co w przypadku Opery zrobić?