Zurück

Clickjacking

10.08.2013 14:35 von Samuel

Erklärung

Unter Clickjacking versteht man einen Angriff, bei dem eine Website in einen iFrame geladen wird.

Dannach wird dieser unsichtbar gemacht und einen Button oder Textfelder genau auf die Felder der Seite im iFrame platziert.

Beispiel / Theorie

Der Angreifer sucht eine Seite (z.B. Spotify.com) und lädt diese in einen iFrame. Unter der URL “https://www.spotify.com/de/account/profile/” können wir unter anderem unser Passwort ändern.

Der Angreifer versucht nun, an euer Passwort zu gelangen. Also lädt er die Seite in einen iFrame, setzt bei “Kennwort” und “Kennwort bestätigen” ein Textfeld. Unten beim Button setzt er ebenfalls einen Button. Allerdings mit einem anderen Text. Das Ganze kann der Angreifer z.B. als Gewinnspiel “verpacken”, sodass das Opfer keinen Verdacht schöpft.

Der Angriff

Der Besucher des angeblichen “Gewinnspiels” sieht diese Seite in seinem Browser.

Doch eigentlich sieht die Seite so aus.

Wir sehen also, dass der iFrame ausgeblendet wurde und die wichtigen Felder mit den Felder des Gewinnspiel überlagert wurden. Wenn man nun die Daten eingibt und auf den Button klickt, hat man im Hintergrund sein Spotify Passwort geändert. Der Angreifer kann sich somit mit den neuen Daten einloggen und das Passwort erneut ändern.

Schutzmassnahmen

Es gibt verschiedene Arten sich vor solch einem Angriff zu schützen. Aus Sicht des Anwenders gibt es ein gutes Firefox Addon. NoScript heisst es und bietet einen guten Schutz gegen Clickjacking. Es erkennt fast alle Arten von Clickjacking Attacken.

Dies ist aber keine 100%ige Sicherheit. Wenn man einem solchen Angriff nie begegnen möchten, sollte iFrames direkt ausschalten. iFrames ist so oder so sehr veraltet und man sollte darauf verzichten. Man kann diese auch mit NoScript deaktivieren.

“NoScript” kann man hier herunterladen.

https://addons.mozilla.org/de/firefox/addon/noscript/

 

Aus Sicht des Entwicklers, kann man in PHP einfach diesen Header setzen:

header("X-Frame-Options: DENY");

Zurück

Einen Kommentar schreiben