perlunity.de - PERL | JAVASCRIPT | PHP | MySQL | APACHE



#!/COMMUNITY

Members: 5597
davon online: 1
weitere User: 1
Click for quality!



21.01.2018 / 00:11

Community-Member werden   |   Paßwort vergessen   |   OnlineMonitor (1) Wer ist online ... OnlineMonitor starten !
     

 

Home


PERLscripts


PHPscripts


JAVAscripts


Hilfreiches


Links2www


Newscenter


Community


Interna




Szene.News  »  Neue Varianten von Clickjacking-Angriffen

15.04.2010 / 12.24

Paul Stone, britischer IT-Sicherheitsexperte, hat auf der Hacker-Konferenz Black Hat neue Clickjacking-Attacken demonstriert. Beim klassischen Clickjacking schiebt eine manipulierte Webseite einen
transparenten iFrame unter den Mauszeiger. Anstatt etwas auf der angezeigten Seite anzuklicken, klickt der Anwender in Wahrheit auf Elemente im durchsichtigen iFrame einer anderen Seite.

In der Demonstration reduziert Stone sich nicht auf Klicks, er gibt Texte in Formulare ein und liest auch geöffnete Dokumente oder Quell-Texte im Browser des Opfers aus. Er nutzt die Drag-and-Drop-API der moderner Browser wie Interner Explorer, Firefox, Chrome oder Safari. Stone lässt das Opfer Objekte oder Texte aus dem sichtbaren Fenster in das unsichtbare iFrame ziehen.

In der Praxis kann das wie folgt genutzt werden. Ist man auf einer Webseite eines sozialen Netzwerkes eingeloggt und öffnet eine weitere Seite des Netzwerkes, platzieren sich unbemerkt Inhalte im unsichtbaren Frame. Laut Stone können prinzipiell auch Quellcodes einer Webseite ausgelesen werden, beispielsweise eine Session-ID oder ein Authentifizierung-Token. Letzlich könnten Angreifer so eine ganze Sitzung übernehmen.

Es geht noch eine Spur raffinierter, sobald Java und JavaScript ins Spiel kommen. Java's Drag-and-Drop-API ist leistungsfähiger als die der Browser. Der Angreifer kann damit sogar auf das Markieren von Text (Drag) mit der Maus verzichten. Es genügt ein simpler Mausklick. Wird der Angriff noch mit JavaScript kombiniert, kann der Drag-Befehl zeit- und aktionsunabhängig gestartet werden, der Mauszeiger muss weder über dem Java-Applet ruhen noch muss die linke Maustaste gedrückt werden.

Solche Attacken lassen sich durch den Header-Zusatz: "X-FRAME-OPTIONS: DENY" verhindern. Der Webserver der vertrauenswürdigen Seite sendet den Zusatz an den Browser. Allerdings beherrschen nur die neuesten Browser wie Internet Explorer 8, Safari 4 oder Chrome 2 diesen Zusatz. Stark frequentierte Seiten wie facebook.com,
googlemail.com oder twitter.com haben inzwischen andere Schutzmaßnahmen gegen das Clickjacking integriert.

URL:   http://de.wikipedia.org/wiki/Clickjacking
Autor:Marky
E-Mail:support@perlunity.de



zurück zur Übersicht  |  Szene.News eintragen



Kommentare

Noch keine Kommentare vorhanden.

Kommentar anfügen








-
-