Na niebezpiecznik.pl opis dwóch typów przeglądarkowych ataków – Clickjacking i ataki niweczące Framebusting (czyli ochronę przed clickjackingiem)

Posted: 2010/06/03 by wildwezyr in Zwykły wpis
Tagi: , , , , , , , , , , , , , , , , , ,
ClickJacking na przykładzie Twittera

ClickJacking na przykładzie Twittera

Niby chcieli opisać atak typu ClickJacking oraz sposób obrony przed nim czyli Framebusting, ale podali też sposoby na ominięcie Framebustingu.

W skrócie ClickJacking to przechwytywanie kliknięć użytkownika poprzez podstawienie na stronie ukrytej ramki z inną stroną do której użytkownik jest prawdopodobnie zalogowany i bezwiednie klika na swoim koncie (np. w [Skasuj konto]) myśląc, że np. gra w idiotyczną gierkę.

Framebusting to w skrócie obrona przed ClickJackingiem polegająca na wyskoczeniu strony z ramki. Np. Facebook tak wyskakuje, Gazeta.pl też (co irytuje jak się jest na wykopie i kliknie w wykop z gazety).

Dalej opisano sposoby w jaki można zniweczyć Framebusting – czyli nie dać serwisowi wyskoczyć z niewidzialnej ramki – czyli to kolejny typ ataku – wspierającego dla ClickJackingu.

Czemu o tym piszę? Bo robię serwisy internetowe i raz chcieliśmy w ramce otwierać Facebooka. Nie, nie w żadnej ukrytej, chodziło o logowanie Facebookiem do naszego serwisu, czyli coś bardzo przydatnego i popieranego przez FB. Ale niestety FB nam wyskakiwało z ramki (czyli Facebook stosuje właśnie Framebusting) i cały koncept szlag nam trafił ;-). A teraz niebezpiecznik.pl podesłał kilka pomysłów dla leniwych umysłowo. Jak jednak nam się zachce przymusić FB do działania po naszemu w ramce – zaczniemy swoje poszukiwania rozwiązania od haseł z niebezpiecznika ;-).

Reklamy

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj / Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj / Zmień )

Zdjęcie na Google+

Komentujesz korzystając z konta Google+. Wyloguj / Zmień )

Connecting to %s