<summary><strong>Apprenez le piratage AWS de zéro à héros avec</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Si vous souhaitez voir votre **entreprise annoncée dans HackTricks** ou **télécharger HackTricks en PDF**, consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop)!
* Obtenez le [**merchandising officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* Découvrez [**La Famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection d'[**NFTs**](https://opensea.io/collection/the-peass-family) exclusifs
* **Rejoignez le** 💬 [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Partagez vos astuces de piratage en soumettant des PR aux dépôts github** [**HackTricks**](https://github.com/carlospolop/hacktricks) et [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
Utilisez [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) pour construire et **automatiser des workflows** grâce aux outils communautaires **les plus avancés**.\
Le Clickjacking est une attaque qui **trompe** un **utilisateur** pour qu'il **clique** sur un **élément** d'une page web qui est **invisible** ou déguisé en un autre élément. Cela peut amener les utilisateurs à télécharger malgré eux des logiciels malveillants, visiter des pages web malveillantes, fournir des identifiants ou des informations sensibles, transférer de l'argent ou acheter des produits en ligne. (Depuis [ici](https://www.imperva.com/learn/application-security/clickjacking/)).
Il est parfois possible de **remplir la valeur des champs d'un formulaire en utilisant des paramètres GET lors du chargement d'une page**. Un attaquant peut abuser de ce comportement pour remplir un formulaire avec des données arbitraires et envoyer la charge utile de clickjacking pour que l'utilisateur appuie sur le bouton Envoyer.
Si vous avez besoin que l'utilisateur **remplisse un formulaire** mais que vous ne voulez pas lui demander directement d'écrire des informations spécifiques (comme l'email ou un mot de passe spécifique que vous connaissez), vous pouvez simplement lui demander de **Drag\&Drop** quelque chose qui écrira vos données contrôlées comme dans [**cet exemple**](https://lutfumertceylan.com.tr/posts/clickjacking-acc-takeover-drag-drop/).
Si vous avez identifié une **attaque XSS qui nécessite un clic** de l'utilisateur sur un élément pour **déclencher** l'XSS et que la page est **vulnérable au clickjacking**, vous pourriez en abuser pour tromper l'utilisateur et le faire cliquer sur le bouton/lien.\
_Vous avez trouvé un **self XSS** dans certains détails privés du compte (détails que **seul vous pouvez définir et lire**). La page avec le **formulaire** pour définir ces détails est **vulnérable** au **Clickjacking** et vous pouvez **préremplir** le **formulaire** avec les paramètres GET._\
\_\_Un attaquant pourrait préparer une attaque de **Clickjacking** sur cette page en **préremplissant** le **formulaire** avec le **payload XSS** et en **trompant** l'**utilisateur** pour qu'il **soumette** le formulaire. Ainsi, **lorsque le formulaire est soumis** et que les valeurs sont modifiées, l'**utilisateur exécutera l'XSS**.
Comme les frame busters sont des scripts JavaScript, les paramètres de sécurité du navigateur peuvent empêcher leur fonctionnement ou même le navigateur pourrait ne pas supporter JavaScript. Une solution efficace pour un attaquant contre les frame busters est d'utiliser l'attribut `sandbox` de l'**iframe HTML5**. Lorsqu'il est défini avec les valeurs `allow-forms` ou `allow-scripts` et que la valeur `allow-top-navigation` est omise, le script de frame buster peut être neutralisé car l'iframe ne peut pas vérifier s'il est ou non la fenêtre supérieure :
Les valeurs `allow-forms` et `allow-scripts` permettent les actions spécifiées dans l'iframe, mais la navigation de niveau supérieur est désactivée. Cela empêche les comportements de déjouement de cadre tout en autorisant les fonctionnalités au sein du site ciblé.
Selon le type d'attaque de Clickjacking effectuée, **vous pourriez également devoir autoriser** : `allow-same-origin` et `allow-modals` ou [encore plus](https://www.w3schools.com/tags/att_iframe_sandbox.asp). Lors de la préparation de l'attaque, vérifiez simplement la console du navigateur, elle peut vous indiquer quels autres comportements vous devez autoriser.
L'**en-tête de réponse HTTP `X-Frame-Options`** peut être utilisé pour indiquer si un navigateur doit être **autorisé** à rendre une page dans un `<frame>` ou `<iframe>`. Les sites peuvent utiliser cela pour éviter les attaques de Clickjacking, en s'assurant que **leur contenu n'est pas intégré dans d'autres sites**. Définissez l'en-tête **`X-Frame-Options`** pour toutes les réponses contenant du contenu HTML. Les valeurs possibles sont :
La **protection recommandée contre le clickjacking** consiste à intégrer la directive **`frame-ancestors`** dans la politique de sécurité du contenu de l'application.\
La directive **`frame-ancestors 'none'`** est similaire dans son comportement à la directive **X-Frame-Options `deny`** (_Personne ne peut encadrer la page_).\
La directive **`frame-ancestors 'self'`** est largement équivalente à la directive **X-Frame-Options `sameorigin`** (_seul le site actuel peut l'encadrer_).\
La directive **`frame-ancestors trusted.com`** est largement équivalente à la directive **X-Frame-Options**`allow-from` (_seul le site de confiance peut l'encadrer_).
* **Prise en charge par le navigateur :** Les frame-ancestors CSP ne sont pas encore pris en charge par tous les principaux navigateurs.
* **X-Frame-Options a la priorité :** [La section "Relation to X-Frame-Options" de la spécification CSP](https://w3c.github.io/webappsec/specs/content-security-policy/#frame-ancestors-and-frame-options) dit : "_Si une ressource est livrée avec une politique qui comprend une directive nommée frame-ancestors et dont la disposition est "enforce", alors l'en-tête X-Frame-Options DOIT être ignoré_", mais Chrome 40 & Firefox 35 ignorent la directive frame-ancestors et suivent l'en-tête X-Frame-Options à la place.
Utilisez [**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks) pour construire et **automatiser des workflows** alimentés par les outils communautaires **les plus avancés**.\
<summary><strong>Apprenez le hacking AWS de zéro à héros avec</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Si vous souhaitez voir votre **entreprise annoncée dans HackTricks** ou **télécharger HackTricks en PDF**, consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop)!
* Obtenez le [**merchandising officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* **Rejoignez le** 💬 [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Partagez vos astuces de hacking en soumettant des PR aux dépôts github** [**HackTricks**](https://github.com/carlospolop/hacktricks) et [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
