Ostatnie informacje na temat dopisywania się kawałków kodu iframe do stron, obawiam się, że można połączyć z nową techniką ataków na komputery. Jest nią clickjacking i w wielkim skrócie chodzi – zresztą jak sama nazwa wskazuje – przechwytywanie kliknięć." />

16.07.2009 7 Bezpieczeństwo stron WWW 4 minuty czytania

Clickjacking

O istnieniu tego ataku dowiedziałem się z najnowszego numeru hackin9 7-8/2009 (50).

Te ataki o których informowałem na początku mają jak się potem okazało występowały w kilku wersjach:

Dołączany był iframe, który ładował jakieś śmieci,
Wklejany był na stronę kod JavaScript.

Idea

W skrócie chodzi o to, aby przejąć kliknięcia Internauty na zarażonej stronie i to bez użycia JavaScriptu czy PHP. Cała sztuczka polega na zabawach z CSS (głównie z-index i opacity). Ukrywa się iframe, który może wzbudzać jakieś wątpliwości, a potem nakłada się ją na stronę w taki sposób aby zakryła tą atakowaną (pozycja absolutna, maksymalna szerokość i wysokość oraz ukrycie pasków przewijania). Potem to już „zmuszenie” użytkownika do kliknięcia.

Kto korzysta z tego?

Głównie spamerzy, którzy chcą zwiększyć sobie ilość kliknięć w reklamy.

Jak się bronić?

Jednym z rozwiązań jest tzw. ucieczka z ramek czyli przekierowanie przeglądarki na „nasz adres”. Robi się to tym dwuliniowym kodem.

if( top != self )
	top.location.href = self.location.href;

Nie wiem dlaczego, ale autor (Marco Lisci - makaroniarz ;) tego artykułu często wspomina że użytkownicy często wyłączają obsługę JS głównie ze względów bezpieczeństwo. Bardzo mnie to zastanawia, bo spotkałem się z opiniami, że tak robi bardzo mały odsetek Internautów. Reszta nie wie lub nie jest zorientowana w tym temacie.

W artykule są podane przykładowe kody html i css. Myślę że warto się tym zainteresować.

Komentarze 7

Michał www 16.07.2009 15:54:13

Te iframe'y były rzeczywiście irytujące. Przechodziłem to dwa razy. Co się okazało winny wszystkiemu był klient ftp Total Commander, który podobno zapisuje hasła do serwerów gdzieś na dysku. Robak wykradł te hasła i w nocy zalogował się na serwer od razu dodając do każdego pliku index (.php, .html) swój spamerski kod. Kiedy to wszystko usunąłem - kolejnej nocy zrobił to samo :-/ Potem poszperałem w necie i znalazłem przyczynę - TC. Od tej pory używam FileZilli... Spamerzy viagry i innych pigułek rzeczywiście nie przebierają w środkach.

LBO www 17.07.2009 08:11:25

Jeff Atwood skrobnął, swojego czasu, kilka akapitów na ten temat.

http://www.codinghorror.com/blog/archives/001277.html

Rulz www 18.07.2009 19:28:52

Michał: Filezilla robi to samo! Tj. zapisuje hasła na dysku czystym tekstem

Daniel www 19.07.2009 20:13:11

Polecam instalację dodatku do Firefoxa o nazwie NoScript. Swego czasu autor się chwalił że jest pierwszym który wprowadził takie zabezpieczenie. Fakt, parę razy wyświetliły mi się jakieś ostrzeżenia :)

kosa www 22.09.2009 01:34:17

Niestety I nas ten problem spotkal za przyczyna tc!

Kamil Brenk www 22.07.2010 14:21:37

Napisałem też co nieco na temat obrony przez Clickjackingiem (i przy okazji XSS). Być może komuś się przyda:

http://blog.kamilbrenk.pl/bezpieczne-naglowki-http/

Pozdrawiam
;)

Wojtek 04.09.2015 22:30:44

Zrozumiałem wreszcie o co w tym chodzi. Firefox ma swoje rozwiązanie a co w przypadku Opery zrobić?

Dodaj komentarz

Jakub Wasielewski

Ponad 11 lat w branży pozycjonowania. Zajmuje 5 miejsce w Mistrzostwach Polski Pozycjonowania Stron. Autor wielu artykułów tego bloga.
---------------------------------------
redakcja(at)seoninja.pl

Paulina Szydłowska

Zawodowo pisze. Hobbystycznie czyta. Czas wolny od literek poświęca rodzinie, znajomym i kotu (niekoniecznie w tej kolejności). Z ogromną przyjemnością tworzy teksty na tego bloga i skrycie marzy o przybiciu piątki z Johnem Muellerem.

Piotr Cichosz

Frontend developer. Tworzy zaawansowane systemy webowe w JS. Swoją wiedzę nt. SEO wykorzystuję do rozwijania własnych projektów. Prowadzę teraz bloga technologicznego oraz bloga o Apple

SEONinja

Kategorie

Zwierzaczki Google

Tagi

Ostatnie wpisy

05.10.2023 1

Recykling treści – jak robić to dobrze?

Najnowsza aktualizacja Google, czyli kolejna poprawka do Helpful Content, uderza w strony, na których praktykuje się tzw. fałszywe aktualizacje. Oznacza to, że manipulacja datami, aby content wydawał się świeży, nie będzie mile widziana przez algorytmy. Właśnie dlatego warto skupić się na tym, aby recykling treści praktykować jak należy i sprawić, że stare teksty zyskają nową wartość.

28.09.2023 2

25 ciekawostek o Google na 25 urodziny!

To już ćwierć wieku, odkąd możemy się cieszyć benefitami korzystania z najpopularniejszej wyszukiwarki na świecie. 25 urodziny Google przypadają 27.09.2023. Przez ostatnie lata wspólnie odkrywaliśmy nowe funkcje, załamywaliśmy ręce nad kolejnymi aktualizacjami algorytmów i sprawdzaliśmy, co jeszcze wymyślą twórcy. Można uwielbiać to przedsiębiorstwo za innowacje, które wprowadza albo uważać za bezduszną korporację, ale zdecydowanie warto mieć wiedzę na ten temat. Poniżej 25 ciekawostek o Google.

21.09.2023 5

Jakość strony a indeksowanie – co na to eksperci z Google?

W temacie jakości stron, które wyświetlają się w SERP, opinie ekspertów z Google nie zaskakują. Wyszukiwarka nastawiona jest przede wszystkim na to, aby premiować content, który jest pomocny i prezentuje wysoki standard. Oczywiście dobre treść wciąż nie gwarantują, że wylądujemy na wysokich pozycjach, jednak niewątpliwie dają przewagę. Jak się jednak okazuje, jakość strony wpływa również na kwestie indeksowania. W jaki sposób? O tym opowiadają John Mueller oraz Gary Illyes w podcaście Search Off the Record.

31.08.2023 0

From the Internet to the table – SEO tips for restaurant owners

We already know that SEO is extremely important factor for success in many fields, especially e-commerce. However, you can find people here and there who believe that Google rankings aren’t their concern. They are mostly entrepreneurs engaged in brick-and-mortar types of business, including restaurants and dining places. If you are one of them, you have to be aware, that local SEO is a thing. Your competitors competitors probably already know this and in fact, they might already be serving clients who could have been yours. Check out a few tips from us and learn how you can get the upper hand.

24.08.2023 0

Maszyna ruszyła – sierpniowa aktualizacja Google jest właśnie wdrażana

Główne aktualizacje algorytmów wyszukiwarki zdarzają się kilka razy w roku, do czego Google zdążyło już nas przyzwyczaić. Większe i mniejsze zmiany w funkcjonowaniu mechanizmów wyszukiwania są wprowadzane cały czas, jednak o tych najbardziej znaczących, jesteśmy informowani na bieżąco. 22 sierpnia 2023 na koncie twitterowym Google Search Central pojawił się wpis powiadamiający o tym, że właśnie wdrażana jest sierpniowa aktualizacja. Czy można przypuszczać, że będzie ich więcej w tym roku? Co robić w związku z nadchodzącymi zmianami?