ClickJacking – descriere si aparare - Securitatea Informatica

ClickJacking – descriere si aparare

ClickJacking este o tehnică maliţioasa de a induce în eroare utilizatorii web în dezvăluirea de informaţii confidenţiale sau preluarea controlului asupra calculatorului în timp ce se face click pe paginile web aparent inofensive. Tehnica de ClickJacking profită de o vulnerabilitate într-o varietate mare de browsere şi platforme şi ia forma de cod încorporat sau script care se poate executa fără ştirea utilizatorului, cum ar fi clickul pe un buton care aparent efectuează o alta functie.

Termenul “ClickJacking” a fost inventat de către Jeremiah Grossman şi Robert Hansen in 2008. Exploitul este, de asemenea cunoscut ca UI redressing. ClickJacking poate fi inţeles şi ca un exemplu de confuzie.

ClickJacking e posibil de realizat deoarece caracteristicile aparent inofensive ale paginilor HTML, pot fi utilizate pentru a efectua acţiuni neaşteptate şi ofensive.O pagină asupra căreia a fost aplicată tehnica ClickJacking, induce în eroare utilizatorul de a efectua acţiuni nedorite printr-un click pe un link ascuns. În această pagină, atacatorul încarcă un conţinut vizibil, apoi peste conţinut încarcă o altă pagină într-un strat transparent. Utilizatorii cred că acţionează asupra elementelor de control (butoane, link-uri) vizibile, cînd de fapt aceste acţiuni se efectuează în pagina ascunsă. Pagina ascunsă poate fi o pagină autentică nu numaidecît una cu conţinut imaginar, şi, prin urmare, atacatorii pot impune utilizatorii să efectueze acţiuni care ei nu le-au dorit a le face, şi nu există nici o modalitate de a identifica aceste acţiuni mai târziu, fiindcă utilizatorul a fost într-adevăr autentificat în pagina cu conţinut vizibil.

Exemplu

Utilizatorul primeşte un e-mail cu un link o ştire, la un video, dar o altă pagină autentică, să presupunem o pagină a unui produs de pe amazon.com, poatet fi “ascunsă” prin tehnica ClickJacking deasupra butonului “PLAY” al video din pagina ştirii. Utilizatorul încearcă să apese “play”,  dar de fapt “cumpără” produsul de pe Amazon.com.

Măsuri de control

După ce a fost publicată această tehnică, experţii de securitate web au încercat să vină cu soluţii. Una dintre solutia cea mai viabilă a fost propusă de Microsoft: implementarea unui antet X-FRAME-OPTIONS care permite unui site de a controla dacă conţinutul său poate sau nu fi într-un FRAME. Există două setări pentru acest antet, DENY interzice conţinutului de a fi inclus în frame şi SAMEORIGIN permite conţinutului de a fi inclus în paginile cu aceeaşi origine. Deşi această măsură de control nu este o soluţie universală şi nu va fi efectivă în contextul unor site-uri care folosesc pe larg FRAME-uri, cea mai rezonabilă abordare este protejarea conţinutului.

Din TOP 10000 site-uri din lista Alexa.com, doar 4 site-uri au antetul X-FRAME-OPTIONS specificat. Acest numar, evident, este foarte mic. Însă lipsa antetului nu presupune că aceste site-uri nu sunt protejate de ClickJacking, ele pot utiliza tehnica de framebusting în javascript.

Tehnica framebursting presupune interzicerea prin javascript a unei pagini de a fi încărcate într-un frame.

Exemple de cod sursă pentru tehnica de framebursting:

#tehnica 1
if (top != self) top.location.href = location.href;

#tehnica 2
<head>
<script type="text/javascript">
document.getElementById('all').style.display = 'block';
</script>
</head>
<body>
<div id="all" style="display:none;">
[Continutul paginii]
</div>
</body>

Însă tehnica de framebusting este inutilă în cazul în care atacatorul aplică parametrul SECURITY=RESTRICTED, care dezactivează Javascript, asupra frame-ului în care încarcă pagina transparentă.

Din punctul de vedere a proprietarului paginii web, nu există o măsură de control eficientă într-atît, încît să poată exclude total probabilitatea de realizare a atacurilor ClickJacking.

Din punctul de vedere al utilizatorilor web, principalii producători de browsere, au implementat deja funcţionalitatea antetului X-FRAME-OPTIONS, însă după cum am menţionat mai sus, utilizarea acestui antet de către dezvoltatorii site-urilor nu este populară. Astfel, unicul mecanism independent de dezvoltatorul site-ului care poate apăra utilizatorul web de ClickJacking este Add-onul NoScript Firefox Plugin.

Sursa: securitate.md

Twitter Digg Delicious Stumbleupon Technorati Facebook


Nici un comentariu inca... Fii primul care lasa un comentariu!

Lasa un raspuns

This site is protected by Comment SPAM Wiper. This site is protected by WP-CopyRightPro