Clickjacking

Název: Clickjacking
Zařazení: Session management, Útoky proti uživatelům
Závažnost: Informační - Vysoká

Popis:
 

Clickjacking je útok směřující proti koncovým uživatelům webové aplikace, jejichž identity zneužívá. Při útoku načítá útočník webovou stránku zranitelné aplikace do rámu, který má umístěn na své vlastní webové stránce. Rám je následně zprůhledněn, takže napadený uživatel vidí pouze ty prvky, které jsou na webové stránce útočníka umístěny pod tímto rámem. Pokud uživatel kliká na viditelné prvky, kliká ve skutečnosti do průhledného rámu a pod svou identitou provádí nechtěné akce v cílové aplikaci, jež je načtena v rámu.

Jiná varianta útoku ponechává aplikaci, která je načtena v rámu viditelnou, ale překrývá některé její části tak, aby z původní aplikace zůstaly viditelné pouze určitě její části, například vstupní pole formulářů. Uživatel pak může být přesvědčen, že vyplňuje data do formuláře ve zcela jiné aplikaci, než tomu ve skutečnosti je.

Velice úspěšné jsou také útoky zneužívající Drag & Drop. Uživatel pouhým přetažením obrázku může zapsat libovolná data do cílové aplikace, a to opět pod svou identitou.

Vzhledem ke skutečnosti, že je během těchto útoků zneužívána uživatelova identita, řadí se tato zranitelnost do kategorie spojené s autentizací.

Obrana spočívá v zabránění možnosti načíst webovou stránku aplikace do rámu na cizí doméně. Více informací Vám poskytne odkazovaný seriál o clickjackingu.