# Clickjacking
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥 * Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)! * Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family) * Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com) * **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.** * **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
\ Use [**Trickest**](https://trickest.io/) para construir e **automatizar fluxos de trabalho** com as ferramentas comunitárias mais avançadas do mundo.\ Acesse hoje: {% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %} ## O que é Clickjacking Clickjacking é um ataque que **enganar** um **usuário** a **clicar** em um **elemento** de uma página da web que é **invisível** ou disfarçado como outro elemento. Isso pode fazer com que os usuários baixem malware sem saber, acessem páginas da web maliciosas, forneçam credenciais ou informações sensíveis, transfiram dinheiro ou comprem produtos online. (De [aqui](https://www.imperva.com/learn/application-security/clickjacking/)). ### Truque de preencher formulários Às vezes é possível **preencher o valor dos campos de um formulário usando parâmetros GET ao carregar uma página**. Um atacante pode abusar desse comportamento para preencher um formulário com dados arbitrários e enviar a carga de clickjacking para que o usuário pressione o botão Enviar. ### Preencher formulário com Arrastar e Soltar Se você precisa que o usuário **preencha um formulário**, mas não quer pedir diretamente a ele para escrever algumas informações específicas (como o e-mail e/ou senha específica que você conhece), você pode simplesmente pedir a ele para **Arrastar e Soltar** algo que escreverá seus dados controlados, como neste [**exemplo**](https://lutfumertceylan.com.tr/posts/clickjacking-acc-takeover-drag-drop/). ### Payload básico ```markup
Click me
``` ### Carga Única em Vários Passos Clickjacking attacks can be made more effective by using a multistep payload. In a multistep payload, the attacker divides the malicious action into multiple steps, each triggered by a separate click event. This technique can help bypass certain security measures that may be in place to detect and prevent clickjacking attacks. To implement a multistep payload, the attacker first identifies the target action they want to perform on the victim's behalf. This could be anything from posting a message on a social media platform to making a financial transaction. Next, the attacker creates a series of hidden iframes or buttons on their malicious website. Each iframe or button corresponds to a step in the multistep payload. When the victim clicks on the visible content of the attacker's website, they unknowingly trigger the hidden iframes or buttons, which perform the desired action on their behalf. By dividing the malicious action into multiple steps, the attacker can make it more difficult for security measures to detect the clickjacking attack. Each step may appear harmless on its own, but when combined, they can lead to a potentially harmful action being performed without the victim's knowledge or consent. It is important for developers and security professionals to be aware of the multistep payload technique and take appropriate measures to protect against clickjacking attacks. This can include implementing frame-busting techniques, using X-Frame-Options headers, and regularly testing web applications for vulnerabilities. ```markup
Click me first
Click me next
``` ### Carga de Arrastar e Soltar + Clique Clickjacking can be combined with other techniques to create more sophisticated attacks. One such combination is the Drag & Drop + Click payload. This technique takes advantage of the user's interaction with draggable elements on a webpage. Clickjacking pode ser combinado com outras técnicas para criar ataques mais sofisticados. Uma dessas combinações é a carga de Arrastar e Soltar + Clique. Essa técnica aproveita a interação do usuário com elementos arrastáveis em uma página da web. The attacker first creates a malicious webpage that contains a draggable element, such as an image or a button. When the user visits this webpage, they may be enticed to interact with the draggable element. O atacante primeiro cria uma página da web maliciosa que contém um elemento arrastável, como uma imagem ou um botão. Quando o usuário visita essa página da web, ele pode ser incentivado a interagir com o elemento arrastável. Once the user starts dragging the element, the attacker's webpage uses JavaScript to overlay an invisible iframe on top of a target webpage. The iframe is positioned in such a way that when the user releases the draggable element, they inadvertently click on a hidden button or perform an action on the target webpage without their knowledge. Assim que o usuário começa a arrastar o elemento, a página da web do atacante usa JavaScript para sobrepor um iframe invisível em cima de uma página da web alvo. O iframe é posicionado de tal forma que, quando o usuário solta o elemento arrastável, ele inadvertidamente clica em um botão oculto ou realiza uma ação na página da web alvo sem o seu conhecimento. This technique can be used to perform various malicious actions, such as submitting forms, making unauthorized transactions, or even changing the user's account settings. Essa técnica pode ser usada para realizar várias ações maliciosas, como enviar formulários, fazer transações não autorizadas ou até mesmo alterar as configurações da conta do usuário. ```markup
.
1. Click and press delete button
3.Click me

2.DRAG ME TO THE RED BOX

``` ### XSS + Clickjacking Se você identificou um ataque **XSS que requer que o usuário clique** em algum elemento para **acionar** o XSS e a página é **vulnerável a clickjacking**, você pode abusar disso para enganar o usuário a clicar no botão/link.\ Exemplo:\ _Você encontrou um **self XSS** em alguns detalhes privados da conta (detalhes que **apenas você pode definir e ler**). A página com o **formulário** para definir esses detalhes é **vulnerável** a **Clickjacking** e você pode **preencher** o **formulário** com os parâmetros GET._\ \_\_Um atacante poderia preparar um ataque de **Clickjacking** para aquela página, **preenchendo** o **formulário** com o **payload XSS** e **enganando** o **usuário** a **enviar** o formulário. Assim, **quando o formulário for enviado** e os valores forem modificados, o **usuário executará o XSS**. ## Como evitar o Clickjacking ### Defesas do lado do cliente É possível executar scripts no lado do cliente que realizam alguns ou todos os seguintes comportamentos para evitar o Clickjacking: * verificar e garantir que a janela de aplicativo atual seja a janela principal ou superior, * tornar todos os frames visíveis, * impedir o clique em frames invisíveis, * interceptar e sinalizar possíveis ataques de clickjacking para um usuário. #### Bypass Como os frame busters são JavaScript, as configurações de segurança do navegador podem impedir sua operação ou até mesmo o navegador pode não suportar JavaScript. Uma forma eficaz de contornar os frame busters é usar o **atributo `sandbox` do HTML5 iframe**. Quando isso é definido com os valores `allow-forms` ou `allow-scripts` e o valor `allow-top-navigation` é omitido, o script do frame buster pode ser neutralizado, pois o iframe não pode verificar se é ou não a janela superior: ```markup ``` Tanto os valores `allow-forms` quanto `allow-scripts` permitem as ações especificadas dentro do iframe, mas a navegação de nível superior é desativada. Isso inibe comportamentos de quebra de frame, permitindo ao mesmo tempo a funcionalidade dentro do site-alvo. Dependendo do tipo de ataque de Clickjacking realizado, **você também pode precisar permitir**: `allow-same-origin` e `allow-modals` ou [até mais](https://www.w3schools.com/tags/att\_iframe\_sandbox.asp). Ao preparar o ataque, verifique o console do navegador, pois ele pode informar quais outros comportamentos você precisa permitir. ### X-Frame-Options O cabeçalho de resposta HTTP **`X-Frame-Options`** pode ser usado para indicar se um navegador deve ou não **permitir** a renderização de uma página em um `` ou `