Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Clickjacking...

2008.10.08. 08:56 | buherator | 3 komment

Kikerültek az első információk a világot rettegésben tartó clickjacking támadásról... Az alábbi videó alapján azt hiszem fejet kell hajtsak azok előtt, akiket annak idején "lehurrogtam", mivel az általuk mutatott próbálkozást nem találtam túlzottan innovatívnak. Nos, mint kiderült, mégis valami nagyon hasonlóról van szó:

PoC kódot itt találtok. Webkamerával rendelkező Firefox felhasználók itt kipróbálhatják a videón bemutatott demót, mikrofontulajdonosok pedig ezzel játszhatnak. Ezek a lehetőségek a Flash 10-zel ki lesznek küszöbölve. 

Kétségtelen, hogy az egység sugarú felhasználó kattintási vágyát kihasználva a támadás kiváló alapot adhat különböző kártékony kódok terjesztésére, a felhasználók utáni kémkedésre stb. A lehetőségek számának tényleg csak a fantázia szab határt: Például az olyan, eddig nehezen kihasználható XSS támadások, melyek pl. az onMouseOver vagy onMouseDown események elsütését igényelték, most könnyebben kihasználhatóvá válnak, de új perspektíva nyílik a CSRF támadások számára is. 

Technológiai szempontból említésre méltó, hogy a clickjacking nem feltétlenül igényel JavaScript támogatást, ezért a NoScript régebbi verziói nem feltétlenül védenek ellene, de a legújabb 1.8.2.1-es verzió már fel van vértezve a ClearClick nevű, anti-clickjacking funkcióval is.

Címkék: csrf xss noscript clickjacking

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Csizmazia István [Rambo] · http://antivirus.blog.hu 2008.10.08. 13:11:27

Tetszett ez a click game, nagy ötlet :-) A flash játékok népszerűségét látva tartok tőle, hogy pár hónap múlva már iparszerű próbálkozások lesznek ebből :-O Megyek is NoScriptet frissiteni ;-)

lintaba 2008.10.08. 18:01:08

a flash-en át lehet egyáltalán kattintani?
vagy 10 percen át nyomkodtam a gombokat de nem akart semmi értelmeset behozni, pedig megpróbáltam jól kattintani :)
első körben a flashblock fogta meg, de amikor engedélyeztem neki az oldalt akkor sem találta meg a kamerámat...(és szinte semmilyen más flash-t)

buherator · http://buhera.blog.hu 2008.10.08. 18:04:18

@lintaba
Firefoxon nézed Winen vagy Mac-en? A Flash látja a kamerádat úgy egyébként?

@Rambo
Ezek szerint te is igen produktívan töltöd a munkaidőt ;)