Drucksache: PHP Magazin 4.2014 - Angriffsziel UI: UI-Redressing aka Clickjacking
Im PHP Magazin 4.2014 ist ein Artikel über das auch als UI-Redressing bezeichnete Clickjacking erschienen.
Clickjacking ist inzwischen 6 Jahre alt - und es gibt immer wieder neue Varianten und Angriffsmöglichkeiten. Inzwischen sogar ohne den Einsatz unsichtbarer iframes.
Die Cyberkriminellen scheinen Clickjacking jetzt für ihre dunklen Geschäfte nutzen zu wollen. Es wird also höchste Zeit, dass Sie ihre Webanwendungen vor solchen Angriffen schützen. Da die meisten von Ihnen "normale" Webanwendungen entwickeln werden, reichen Ihnen auch die normalen Schutzmaßnahmen. Wenn Sie Sonderfälle vergleichbar mit Facebooks Like-Button implementieren, wird der Schutz vor einem Missbrauch schwieriger. Denn wie Devdatta Akhawe et al. gezeigt haben, führen dann unter Umständen schon ein paar einfache Zaubertricks zum Erfolg des Angriffs. Im Notfall wird Ihnen also nichts anderes übrig bleiben, als auf eine einfache 1-Klick-Lösung zu verzichten. Eine Passwortabfrage oder ein CAPTCHA lassen sich mit Clickjacking nicht umgehen.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Carsten Eilers: "Clickjacking - Angriffe auf Seiten ohne Schwachstellen"
- [2] Carsten Eilers: "Der Angriff der Clickjacking-Würmer, "Likejacking" und "Buttonjacking""
- [3] RFC 7034 - HTTP Header Field X-Frame-Options
- [4] Bugzilla@Mozilla Bug 725490:X-Frame-Options: SAMEORIGIN largely useless as implemented
- [5] W3C: Content Security Policy 1.0
- [6] W3C: Content Security Policy 1.1
- [7] W3C: User Interface Security Directives for Content Security Policy
- [8] Mozilla Security Blog: "Content Security Policy 1.0 Lands In Firefox"
- [9] Robert Hansen, Jeremiah Grossman: "Clickjacking"
- [10] Guy Aharonovsky: "Malicious camera spying using ClickJacking"
- [11] Feross Aboukhadijeh: "HOW TO: Spy on the Webcams of Your Website Visitors"
- [12] Ahamed Nafeez: "Adobe Flash Webcam clickjacking - The security fix that wasn't."
- [13] Jitendra Jaiswal, Hacking Concepts: "Click-jacking or UI Redressing"
- [14] Paul Stone, Black Hat Europe 2010: "Next Generation Clickjacking"
- [15] Paul Stone, Context Security: "Clickjacking - Black Hat 2010"
- [16] Paul Stone, Context Security: Clickjacking Tool
- [17] Rosario Valotta, Hack in the Box Amsterdam 2011: "CookieJacking" (Paper dazu als PDF)
- [18] Rosario Valotta: Cookiejacking FAQ
- [19] Jim Finkle, Reuters: "Microsoft latest security risk: "Cookiejacking""
- [20] Eric Y. Chen, Sergey Gorbaty, Astha Singhal, Collin Jackson; IEEE Symposium on Security and Privacy 2012: "Self-Exfiltration: The Dangers of Browser-Enforced Information Flow Control" (PDF auf archive.org)
- [21] Luca De Fulgentis, Nibble Security: "UI Redressing Mayhem: Identification Attacks and UI Redressing on Google Chrome"
- [22] Devdatta Akhawe, Black Hat USA 2013: "Clickjacking revisited: A perceptual View of UI Security"
- [23] YouTube-Video: Black Hat USA 2013 - Clickjacking Revisited: A Perceptual View of UI Security
- [24] Carsten Eilers: "Zeus - Trojaner, Botnet, Schädlingsbaukasten, ..."
- [25] Jennifer Gumban, Trend Micro Security Intelligence Blog: "Sunsets and Cats Can Be Hazardous to Your Online Bank Account"
Trackbacks