fbpx

O que é Clickjacking?

Clickjacking é um ataque que induz o usuário a clicar em um elemento de página da Web que é invisível ou disfarçado como outro elemento. Isso pode fazer com que os usuários baixem malware sem querer, visitem páginas da Web maliciosas, forneçam credenciais ou informações confidenciais, transfiram dinheiro ou comprem produtos online sem percepção.

Nesse artigo vamos explicar como esse ataque acontece e como mitigar, mas vale lembrar que para aprender essa técnica de hacking e muitas outras, conheça nossa plataforma de treinamentos de cibersegurança: https://hackersec.com/academy/

Exemplo:

Um usuário da web acessa um site falso e clica em um botão para ganhar um prêmio. Sem saber, eles foram enganados por um invasor para pressionar um botão oculto alternativo e isso resulta no pagamento de uma conta em outro site. Este é um exemplo de um ataque de clickjacking. A técnica incorpora uma página da Web invisível (ou várias páginas) contendo um botão ou link oculto, digamos, dentro de um iframe. O iframe é sobreposto ao conteúdo da página da web e esse ataque difere de um ataque CSRF, pois o usuário é obrigado a executar uma ação, como um clique de botão.

A página invisível pode ser uma página maliciosa ou uma página legítima que o usuário não pretendia visitar, por exemplo, uma página de um site bancário do usuário que autoriza a transferência de dinheiro.

Testando Clickjacking

Essa é uma simples PoC para verificar se o seu site está vulnerável a clickjacking

Visualize a página HTML em um navegador e avalie a página da seguinte forma:

Se o texto “O site é vulnerável a clickjacking” aparecer e abaixo dele você ver o conteúdo da pagina alvo, a página está vulnerável a clickjacking.

Se apenas o texto “O site é vulnerável a clickjacking” aparecer e você não ver o conteúdo de sua página sensível, a página não está vulnerável clickjacking.

Esse é o site que vamos explorar, perceba que ele esta vulnerável a Clickjacking

Configuramos um CSS no payload para deixar a pagina invisível e configurar nosso botão

Acessamos a pagina My Account aonde queremos manipular o conteudo

Criamos um botão chamado Click Me para fazer o Delete de alguma conta

Perceba como fica na prática

Agora é so diminuir a opacidade.

Validar a segurança da sua empresa

Além de saber como funciona e como mitigar esse tipo de ataque, vale a pena também testar a cibersegurança da sua empresa com especialistas da HackerSec, para isso conheça nossas soluções para empresa: https://hackersec.com/empresas/

Mitigação de clickjacking

Existem duas maneiras gerais de se defender contra o clickjacking:

  • Métodos do lado do cliente – o mais comum é chamado de Frame Busting. Os métodos do lado do cliente podem ser eficazes em alguns casos, mas não são considerados uma prática recomendada, pois podem ser facilmente contornados.
  • Métodos do lado do servidor – o mais comum é o X-Frame-Options. Os métodos do lado do servidor são recomendados por especialistas em segurança como uma maneira eficaz de se defender contra o clickjacking.

Mitigando o clickjacking com o cabeçalho de resposta X-Frame-Options

O cabeçalho de resposta X-Frame-Options é passado como parte da resposta HTTP de uma página da Web, indicando se um navegador deve ou não ter permissão para renderizar uma página dentro de uma tag <FRAME> ou <IFRAME>.

Existem três valores permitidos para o cabeçalho X-Frame-Options:

DENY – não permite que nenhum domínio exiba esta página dentro de um frame

SAMEORIGIN – permite que a página atual seja exibida em um quadro em outra página, mas apenas dentro do domínio atual

ALLOW-FROM URI – permite que a página atual seja exibida em um quadro, mas apenas em um URI específico – por exemplo www.example.com/frame-page

Usando a opção SAMEORIGIN para se defender contra clickjacking

O X-Frame-Options permite que os editores de conteúdo evitem que seu próprio conteúdo seja usado em um quadro invisível por invasores.

A opção DENY é a mais segura, impedindo qualquer uso da página atual em um frame. Mais comumente, SAMEORIGIN é usado, pois permite o uso de quadros, mas os limita ao domínio atual.