Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Új gúnya

2008.10.28. 19:09 | buherator | 1 komment

Ismeritek azokat azokat az idegesítő bannereket, amiket mint az őrült kell kattintani, hogy "te nyomd a legtöbb fekvőtáaszt és nyerd meg a 200 plazma TV egyikét"? Athostól kaptam egy érdekes levelet:

A GMail felületét nem egyszerű iframe-be tölteni, popup ablakban viszont jól érzi magát. Erre alapozva próbáltam meg egy clickjacking-támadást összehozni:

http://dev.stfw.hu/h4xx/click.html

Kell hozzá JS, egy élő GMail session, szerencsés csillagegyüttállás, és valószínűleg FF, legalábbis csak FF alatt próbáltam. Ha csak a beépített popup-blocker fut, az nem egy hátrány (2, lecsupaszított ablakot kell megnyitnia a működéshez).

Az igazi akkor lenne, ha a Compose Mail ablakból sikerülne a megfelelő pillanatban egy (több) alert-ablakot előcsalni, azzall lassítható lenne, amíg az ember észbekap, és CTRL+W-t nyom, igazából egy éles támadáshoz kell rajta még reszelni, de ez nem célom.

Szvsz. a fenti demó ugyan nem egy tipikus clickjacking, ettől függetlenül - bár igyekeztem résen lenni - én bizony beszoptam. Ha már definiálni kellene a problémát - ugyan az eredeti szerző ezt is a clickjacking kategóriájába sorolja - én a szintén Athos által figyelmembe ajánlott "UI redress" ("a felhasználói felület újraöltöztetése") elnevezést tartanám szerencsésnek.

A lényeg azonban, hogy még egy egyszerű de akár felettéb hatékony köntösben is tálalható módszer láthattunk az egyszeri felhasználóklehúzására, átverésére, kihasználására. Ésszel kattintsatok!

Címkék: olvasó ír clickjacking ui redress

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Dr. Kocsis László · http://naczivadasz.blogspot.com/ 2008.10.29. 01:21:42

Másképpen is működik és jól. Én Tabmix plust használok, a következő beállítással: Tab bezárása után a bezárt tab előtt legutoljára kiválasztott tabot aktiválja.

Vagyis, a felparaméterezett linkre kattintva megnyílik a gmail és utána a fake site. (külön tabokban). Fake site bezárul, gmail megjelenik, egérgomb kattint.

Persze, ha pl, bezárásnál mindig a jobbra esőt jelenítené meg, akkor már nem lenne nyerő a szkript, de azt hiszem, ez az alap konfig.

Lehetne még tetézni dolgot úgy, hogy amíg nincs onmouseover esemény, addig nem zárná be a lapot, így nem fenyegetne lebukás, hiszen a számláló nem zárja be automatikusan a tabot timeout esetén. Onmouseoverre meg bezárná. Mondjuk az nem biztos, hogy ha fölé viszi az egeret, már egyből kattint...