Pourquoi se proteger contre le clickjacking

Fermé
claude - Modifié le 10 mai 2019 à 12:40
elgazar Messages postés 5840 Date d'inscription mercredi 30 octobre 2013 Statut Membre Dernière intervention 17 mars 2021 - 11 mai 2019 à 16:07
Bonjour,

pour l'attaque clickjacking ( ou détoirnement de clic ) , je comprend que cela represente un risque pour l'utilisateur qui vas cliquer sur un lien et rédérigé vers un autre.

Mais pour le propriétaire du site , pourquoi ça devrait etre risqué ? et il faut se proteger par " X-Frame-Options" . meme si un hacker utilise mon site pour pieger un utilisateur ,je ne trouve pas ça dangereux pour mon site.

j'aimerais bien si quelqu'un pourrait m'expliquer le risque par rapport au propriaitaire d'un site svp , par exemple un site ( interface web ) d'administration pour des enmployés

Merci

Configuration: Windows / Chrome 70.0.3538.102

2 réponses

elgazar Messages postés 5840 Date d'inscription mercredi 30 octobre 2013 Statut Membre Dernière intervention 17 mars 2021 1 300
Modifié le 10 mai 2019 à 13:09
Bonjour

il suffit que le créateur crée une fausse page de connexion et détourne les clics sur cette page pour récupérer tous les identifiants de tes employés.

pour un site plus simple, ce n'est pas la perte mais le manque à gagner, imagine le clickjacking sur un de tes menus ou sur les pubs. chaque visiteur cliquant dessus serait renvoyé vers un site concurrent ou sur une page de pub qui ne te rapporte rien.
Cela peut être encore plus retors en renvoyant vers une fausse page du site original avec des informations ou des prix délirants histoire de bien massacrer la réputation du site original
2
Mercii , mais si un utilisateur clique sur une pub sur mon site et il se fait dériger vers un autre site concurrent , cela veux dire que ce code ( le code qui fait la redirection ) est inclus dans mon code source de site ( donc c'est moi qui l'aécrit ).

restons dans l'exemple d'une interface web pour des employés ( car j'ai fait un scan , et il a détécté cette vulnérabilité de ClickJacking ) . j'ai pas encore bien compris le risque ?
au pire , un hacker peux rederiger des utilisateur vers mon interface web . et puis ???
0
bg62 Messages postés 23378 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 24 novembre 2022 2 323 > claude
10 mai 2019 à 16:12
si tu as mis des pubs toi même = oui , faut alors vérifier voire supprimer
si tu as placé des pubs via un script = le script est plus que suspect alors ....
0
elgazar Messages postés 5840 Date d'inscription mercredi 30 octobre 2013 Statut Membre Dernière intervention 17 mars 2021 1 300 > claude
10 mai 2019 à 17:24
tu crois vraiment qu'un hacker va utiliser un script pour envoyer tes visiteurs sur ton site ????
le principe du clickjacking est de substituer le lien d'origine par un lien qui peut pointer sur n'importe quel site.
0
avion-f16 Messages postés 19023 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 6 décembre 2022 4 439
Modifié le 10 mai 2019 à 18:28
Hello bg62 et elgazar !

« il suffit que le créateur crée une fausse page de connexion et détourne les clics sur cette page pour récupérer tous les identifiants de tes employés. »

Tu veux dire par là, afficher le formulaire de connexion authentique (à l'aide d'une frame), et placer au-dessus de celle-ci, un formulaire sous le contrôle du hacker, pour récupérer les informations de connexion ?
Il s'agit là d'une "variante" du phishing habituel, le hacker ne se fatiguerait pas à reproduire la page de connexion originale sur son propre serveur, mais il afficherait la page "officiel"...

« pour un site plus simple, ce n'est pas la perte mais le manque à gagner, imagine le clickjacking sur un de tes menus ou sur les pubs. chaque visiteur cliquant dessus serait renvoyé vers un site concurrent ou sur une page de pub qui ne te rapporte rien. »

Si le hacker parvient à infecter/modifier le site original, le problème est pire qu'un "clickjacking"... Il ne s'embêterait pas à attendre que le visiteur clique quelque-part pour le rediriger ;)

Pour le clickjacking (ce que j'entends par là en tout cas), le "hacker" ne modifie/pirate pas le site original, tout se passe sur une page sous son contrôle. Ce n'est donc même pas un "hacker", mais ça reste un parasite. Il doit aussi trouver un moyen pour que le visiteur accède à cette page frauduleuse.
Si le but est d'imiter le site officiel (ou l'insérer dans une frame, sous un autre layer "invisible"), c'est plutôt un problème de "phishing".
0
elgazar Messages postés 5840 Date d'inscription mercredi 30 octobre 2013 Statut Membre Dernière intervention 17 mars 2021 1 300 > avion-f16 Messages postés 19023 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 6 décembre 2022
10 mai 2019 à 20:38
le clickjacking que tu décris est celui d'origine, un faux site incitant aux clics qui faisait de vrais actions sur un autre site
Démonstration avec ce site du clickjacking d'origine


Depuis il y a eu des variantes comme iI y a quelques années quand le problème est apparu sur des thèmes wordpress
Si je me souviens bien, des petits malins distribuaient des thèmes premium gratuitement, les thèmes étaient normaux, personne ne se méfiait mais lors de la première mise à jour, des iframes invisibles étaient placés sur le bouton connexion, dès lors au lieu d'envoyer les membres sur la page d'identification normale, cela les envoyait sur une page de connexion piége qui récupérait les identifiants .
il suffisait ensuite de prétexter un bug dans le thème pour justifier l'impossibilité de se connecter et de remettre la version saine du thème (sans iframe) dans une nouvelle mise à jour
résultat :ils ont récupérés un max d' identifiants de connexion (y compris celui des administrateurs) sans que personne ne le remarque et pendant quelques temps, ils ont détournés des clics publicitaires toujours en se servant d'une iframe invisible
0