Pourquoi se proteger contre le clickjacking
claude
-
elgazar Messages postés 5841 Date d'inscription Statut Membre Dernière intervention -
elgazar Messages postés 5841 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
pour l'attaque clickjacking ( ou détoirnement de clic ) , je comprend que cela represente un risque pour l'utilisateur qui vas cliquer sur un lien et rédérigé vers un autre.
Mais pour le propriétaire du site , pourquoi ça devrait etre risqué ? et il faut se proteger par " X-Frame-Options" . meme si un hacker utilise mon site pour pieger un utilisateur ,je ne trouve pas ça dangereux pour mon site.
j'aimerais bien si quelqu'un pourrait m'expliquer le risque par rapport au propriaitaire d'un site svp , par exemple un site ( interface web ) d'administration pour des enmployés
Merci
pour l'attaque clickjacking ( ou détoirnement de clic ) , je comprend que cela represente un risque pour l'utilisateur qui vas cliquer sur un lien et rédérigé vers un autre.
Mais pour le propriétaire du site , pourquoi ça devrait etre risqué ? et il faut se proteger par " X-Frame-Options" . meme si un hacker utilise mon site pour pieger un utilisateur ,je ne trouve pas ça dangereux pour mon site.
j'aimerais bien si quelqu'un pourrait m'expliquer le risque par rapport au propriaitaire d'un site svp , par exemple un site ( interface web ) d'administration pour des enmployés
Merci
Configuration: Windows / Chrome 70.0.3538.102
A voir également:
- Pourquoi se proteger contre le clickjacking
- Proteger cellule excel - Guide
- Protéger un dossier par mot de passe - Guide
- Protéger un pdf par mot de passe - Guide
- Comment protéger sa photo de profil whatsapp - Guide
- Protéger un document word - Guide
2 réponses
Bonjour
il suffit que le créateur crée une fausse page de connexion et détourne les clics sur cette page pour récupérer tous les identifiants de tes employés.
pour un site plus simple, ce n'est pas la perte mais le manque à gagner, imagine le clickjacking sur un de tes menus ou sur les pubs. chaque visiteur cliquant dessus serait renvoyé vers un site concurrent ou sur une page de pub qui ne te rapporte rien.
Cela peut être encore plus retors en renvoyant vers une fausse page du site original avec des informations ou des prix délirants histoire de bien massacrer la réputation du site original
il suffit que le créateur crée une fausse page de connexion et détourne les clics sur cette page pour récupérer tous les identifiants de tes employés.
pour un site plus simple, ce n'est pas la perte mais le manque à gagner, imagine le clickjacking sur un de tes menus ou sur les pubs. chaque visiteur cliquant dessus serait renvoyé vers un site concurrent ou sur une page de pub qui ne te rapporte rien.
Cela peut être encore plus retors en renvoyant vers une fausse page du site original avec des informations ou des prix délirants histoire de bien massacrer la réputation du site original
Bonjour,
Le clickjacking consiste à insérer le site légitime de manière invisible dans une page suspecte, sous le contrôle du hacker.
Par exemple : insérer le bouton « J'aime » de Facebook, pour une page pour laquelle le "hacker" souhaite faire gagner en visibilité, au-dessus d'un site qui semble légitime par apparence mais qui ne l'est pas. Son seul but est de pousser le visiteur à cliquer à un endroit spécifique en affichant un lien par exemple, mais au-dessus duquel le bouton "J'aime" se situe (de manière invisible).
Tu as raison de dire que cela ne représente pas de risque pour la sécurité de ton site, dans le sens où les actions effectuées par les visiteurs de la page frauduleuse, à leur insu, ne dépassent pas les privilèges que ces visiteurs ont sur ton site. Toutefois, cela peut avoir des conséquences très néfastes pour tes visiteurs qui ne se rendront pas compte immédiatement de ce qu'il se passe. Il peut s'agir d'un simple "J'aime" de Facebook (si FB n'était pas protégé contre cela), mais le hacker pourrait faire cliquer les visiteurs sur le bouton pour détruire leur compte sur ton site, par exemple.
En revanche, le clickjacking ne permet pas le vol d'informations.
Des explications illustrées valent mieux que 1000 mots :
https://owasp.org/www-community/attacks/Clickjacking
Le clickjacking consiste à insérer le site légitime de manière invisible dans une page suspecte, sous le contrôle du hacker.
Par exemple : insérer le bouton « J'aime » de Facebook, pour une page pour laquelle le "hacker" souhaite faire gagner en visibilité, au-dessus d'un site qui semble légitime par apparence mais qui ne l'est pas. Son seul but est de pousser le visiteur à cliquer à un endroit spécifique en affichant un lien par exemple, mais au-dessus duquel le bouton "J'aime" se situe (de manière invisible).
Tu as raison de dire que cela ne représente pas de risque pour la sécurité de ton site, dans le sens où les actions effectuées par les visiteurs de la page frauduleuse, à leur insu, ne dépassent pas les privilèges que ces visiteurs ont sur ton site. Toutefois, cela peut avoir des conséquences très néfastes pour tes visiteurs qui ne se rendront pas compte immédiatement de ce qu'il se passe. Il peut s'agir d'un simple "J'aime" de Facebook (si FB n'était pas protégé contre cela), mais le hacker pourrait faire cliquer les visiteurs sur le bouton pour détruire leur compte sur ton site, par exemple.
En revanche, le clickjacking ne permet pas le vol d'informations.
Des explications illustrées valent mieux que 1000 mots :
https://owasp.org/www-community/attacks/Clickjacking
euh malheureusement c'est plus grave que ca
si celui qui clique sur le détournement de liens est l'administrateur de son site, il peut dans certaines conditions effacer une partie de son site sans même s'en apercevoir si celui-ci est couplé avec la faille csrf comme expliqué dans cet article d'openclassroom
si celui qui clique sur le détournement de liens est l'administrateur de son site, il peut dans certaines conditions effacer une partie de son site sans même s'en apercevoir si celui-ci est couplé avec la faille csrf comme expliqué dans cet article d'openclassroom
C'est une des conséquences possibles en effet, mais ça serait dommage de la part d'un administrateur de ne pas se rendre compte qu'il est sur son site dans la barre d'adresse. Mais c'est vrai qu'avec du "social engineering", un peu de distraction de la part de l'utilisateur, la pression de devoir faire le boulot rapidement, etc, etc, etc, on a vite fait une petite boulette ;)
La protection CSRF habituelle (token caché) est sans effet si le "hacker" parvient à faire du clickjacking... D'où l'importance de toujours regarder sa barre d'adresse ;)
La protection CSRF habituelle (token caché) est sans effet si le "hacker" parvient à faire du clickjacking... D'où l'importance de toujours regarder sa barre d'adresse ;)
restons dans l'exemple d'une interface web pour des employés ( car j'ai fait un scan , et il a détécté cette vulnérabilité de ClickJacking ) . j'ai pas encore bien compris le risque ?
au pire , un hacker peux rederiger des utilisateur vers mon interface web . et puis ???
si tu as placé des pubs via un script = le script est plus que suspect alors ....
le principe du clickjacking est de substituer le lien d'origine par un lien qui peut pointer sur n'importe quel site.
« il suffit que le créateur crée une fausse page de connexion et détourne les clics sur cette page pour récupérer tous les identifiants de tes employés. »
Tu veux dire par là, afficher le formulaire de connexion authentique (à l'aide d'une frame), et placer au-dessus de celle-ci, un formulaire sous le contrôle du hacker, pour récupérer les informations de connexion ?
Il s'agit là d'une "variante" du phishing habituel, le hacker ne se fatiguerait pas à reproduire la page de connexion originale sur son propre serveur, mais il afficherait la page "officiel"...
« pour un site plus simple, ce n'est pas la perte mais le manque à gagner, imagine le clickjacking sur un de tes menus ou sur les pubs. chaque visiteur cliquant dessus serait renvoyé vers un site concurrent ou sur une page de pub qui ne te rapporte rien. »
Si le hacker parvient à infecter/modifier le site original, le problème est pire qu'un "clickjacking"... Il ne s'embêterait pas à attendre que le visiteur clique quelque-part pour le rediriger ;)
Pour le clickjacking (ce que j'entends par là en tout cas), le "hacker" ne modifie/pirate pas le site original, tout se passe sur une page sous son contrôle. Ce n'est donc même pas un "hacker", mais ça reste un parasite. Il doit aussi trouver un moyen pour que le visiteur accède à cette page frauduleuse.
Si le but est d'imiter le site officiel (ou l'insérer dans une frame, sous un autre layer "invisible"), c'est plutôt un problème de "phishing".
Démonstration avec ce site du clickjacking d'origine
Depuis il y a eu des variantes comme iI y a quelques années quand le problème est apparu sur des thèmes wordpress
Si je me souviens bien, des petits malins distribuaient des thèmes premium gratuitement, les thèmes étaient normaux, personne ne se méfiait mais lors de la première mise à jour, des iframes invisibles étaient placés sur le bouton connexion, dès lors au lieu d'envoyer les membres sur la page d'identification normale, cela les envoyait sur une page de connexion piége qui récupérait les identifiants .
il suffisait ensuite de prétexter un bug dans le thème pour justifier l'impossibilité de se connecter et de remettre la version saine du thème (sans iframe) dans une nouvelle mise à jour
résultat :ils ont récupérés un max d' identifiants de connexion (y compris celui des administrateurs) sans que personne ne le remarque et pendant quelques temps, ils ont détournés des clics publicitaires toujours en se servant d'une iframe invisible