Magazine High tech

Clickjacking / UI Redressing attacks

Publié le 02 juin 2009 par Didier Madras
Depuis mi 2008 il existe un nouveau type de piratage à travers  le code html de la page consultée, ou du flash .Le problème affecte tout les navigateurs graphiques. L'utilisateur pense interagir avec la page en cours alors que son action est détournée à son insu. Les animation shockwave flash sont particulièrement visées (corrigé pour la version player flash 10) et à travers elles c'est le contrôle de votre webcam ou de votre microphone qui est à la portée du hacker, jusqu'à prendre le contrôle de votre système.

Aucun antivirus ou logiciel anti.... ne les détecte sauf le plugin noscript

non présent par défaut dans Firefox. Il est très efficace mais bride parfois la navigation (à vous de choisir les scripts ou page non fiables que vous voulez bloquer) Autant dire que je vous conseille de l'installer.

Voir l'article de Michal Zalewski http://lists.whatwg.org/pipermail/whatwg-whatwg.org/2008-September/016284.html
"Problem definition: a malicious page in domain A may create an IFRAME pointing to an application in domain B, to which the user is currently authenticated with cookies. The top-level page may then cover portions of the IFRAME with other visual elements to seamlessly hide everything but a single UI button in domain B, such as "delete all items", "click to add Bob as a friend", etc. It may then provide own, misleading UI that implies that the button serves a different purpose and is a part of site A, inviting the user to click it."
Une page malveillante dans le domaine A peut créer un cadre IFRAME pointant vers une application dans le domaine B, à laquelle l'utilisateur est en train de authentifié avec les cookies. Le haut niveau de la page peut ensuite cacher des parties de l'IFRAME avec d'autres éléments visuels de façon à cacher, mais un simple bouton dans l'interface utilisateur du domaine B, tels que "supprimer tous les éléments», cliquez pour ajouter Bob comme un ami ", etc Il peut alors fournir une interface trompeuse qui implique que le bouton sert à une autre fin et fait partie du site A, invitant l'utilisateur à cliquer dessus.
Sources:
blog.giora.org:  http://blog.gioria.org/index.php?post/2008/09/28/OWASP-NYC2008-Clickjacking
 
Sur Noscript: http://noscript.net/faq#clearclick

Paragraphe 7.1 Q:   What is Clickjacking?

Hackademix.net: http://hackademix.net/2008/10/08/hello-clearclick-goodbye-clickjacking/



Retour à La Une de Logo Paperblog

A propos de l’auteur


Didier Madras 5 partages Voir son profil
Voir son blog

l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte