Ismeritek azokat azokat az idegesítő bannereket, amiket mint az őrült kell kattintani, hogy "te nyomd a legtöbb fekvőtáaszt és nyerd meg a 200 plazma TV egyikét"? Athostól kaptam egy érdekes levelet:

A GMail felületét nem egyszerű iframe-be tölteni, popup ablakban viszont jól érzi magát. Erre alapozva próbáltam meg egy clickjacking-támadást összehozni:

http://dev.stfw.hu/h4xx/click.html

Kell hozzá JS, egy élő GMail session, szerencsés csillagegyüttállás, és valószínűleg FF, legalábbis csak FF alatt próbáltam. Ha csak a beépített popup-blocker fut, az nem egy hátrány (2, lecsupaszított ablakot kell megnyitnia a működéshez).

Az igazi akkor lenne, ha a Compose Mail ablakból sikerülne a megfelelő pillanatban egy (több) alert-ablakot előcsalni, azzall lassítható lenne, amíg az ember észbekap, és CTRL+W-t nyom, igazából egy éles támadáshoz kell rajta még reszelni, de ez nem célom.

Szvsz. a fenti demó ugyan nem egy tipikus clickjacking, ettől függetlenül - bár igyekeztem résen lenni - én bizony beszoptam. Ha már definiálni kellene a problémát - ugyan az eredeti szerző ezt is a clickjacking kategóriájába sorolja - én a szintén Athos által figyelmembe ajánlott "UI redress" ("a felhasználói felület újraöltöztetése") elnevezést tartanám szerencsésnek.

A lényeg azonban, hogy még egy egyszerű de akár felettéb hatékony köntösben is tálalható módszer láthattunk az egyszeri felhasználóklehúzására, átverésére, kihasználására. Ésszel kattintsatok!