bảo mật an ninh mạng clickjacking
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (743.41 KB, 29 trang )
BẢO MẬT VÀ AN NINH MẠNG
Phần : Clickjacking
Sinh viên thực hiện :
Nguyễn Ngọc Sơn – K38.104.173
Trần Thế Phi – K38.104.161
Nguyễn Thị Loan –!K38.104.131
Trần Mạnh Thành Hiếu – K38.104.105
Ngô Kim Châu – K38.104.084
Phạm Thị Thu Thủy – K38.104.189
Huỳnh Văn Sáu – K38.104.052
Đoàn Công Huân – K38.104.110
NETWORK SECURITY – Clickjacking 1
Nội dung:
•
Clickjacking là gì ?
•
Thực trạng Clickjacking.
•
Clickjacking và Wordpre ss.
•
Làm sao để bảo vệ ứng dụng web khỏi Clickjacking ?
NETWORK SECURITY – Clickjacking 2
I. Clickjacking là gì ?
•
Clickjacking (còn được gọi là "UI redress attack") là một
thuật ngữ diễn tả việc lừa người sử dụng click chuột vào
một liên kết nhìn bề ngoài có vẻ "trong sạch" trong các
trang web, tuy nhiên qua cú click chuột đó hacker có thể
lấy được các thông tin bí mật của người sử dụng hay
kiểm soát máy tính của họ.
NETWORK SECURITY – Clickjacking 3
Lừa người sử dụng trên một website
Lừa họ click chuột vào
Khai thác thành công
A. MÔ TẢ CÁCH THỨC HOẠT ĐỘNG CỦA CLICKJACKING
NETWORK SECURITY – Clickjacking 4
VD:
NETWORK SECURITY – Clickjacking 5
B. VÀI TÍNH CHẤT CỦA HTML LIÊN QUAN
•
Iframe :
–
Một trang web có thể chứa đựng thêm một trang web bên trong
nó. Ví dụ : Google maps
NETWORK SECURITY – Clickjacking 6
B. VÀI TÍNH CHẤT CỦA HTML LIÊN QUAN
•
Opacity ( tính làm mờ )
–
Các phần của HTML có thể hòa lẫn với nhau, được làm mờ đi
hoặc trở nên trong suốt.
NETWORK SECURITY – Clickjacking 7
B. VÀI TÍNH CHẤT CỦA HTML LIÊN QUAN
•
Stacking Order ( xếp theo thứ tự )
–
Các phần tử của HTML có thể xếp chồng lên nhau.
NETWORK SECURITY – Clickjacking 8
B. VÀI TÍNH CHẤT CỦA HTML LIÊN QUAN
•
Stacking + Opacity ( vừa xếp chồng lên nhau, vừa làm
mờ và trở nên trong suốt )
–
Một phần tử có thể được đưa lên đầu trang và trở nên vô hình.
NETWORK SECURITY – Clickjacking 9
C. VÍ DỤ ĐƠN GIẢN VỀ CODE
CLICKJACKING
<html>
<h1 style="text-align:center">Win Big</h1>
<p style="font-size: 38px;">You are the lucky millionth visitor.<br>You have won a
mystery prize.</p>
<div style="z-index:10; opacity:0; position:absolute; top:0px; ">
<iframe scrolling="no" style="width:800px; height:500px;
"src=" </iframe> </div>
<div style="position:absolute; top:200px; left:210px;">
<a href="#">Claim your prize</a>
</div>
</html>
Ẩn iframe lên trên
“Clame your prize” đã
được ẩn dấu với quảng
cáo
NETWORK SECURITY – Clickjacking 10
II. Thực trạng Clickjacking
•
–
Khai thác : Buộc người dùng Twitter gửi tin nhắn.
•
–
Khai thác : Buộc người dùng nhấn nút Like.
•
Advertising and Affiliate Networks (các liên kết quảng cáo)
–
Khai thác : Buộc người dùng phải click vào quảng cáo để kiếm tiền cho các dịch vụ quảng cáo.
•
Adobe Flash
–
Khai thác : Điều chỉnh các cài đặt bảo mật để tự bật và kiểm soát camera, microphone của người
dùng. Tuy nhiên điều này chỉ tác dụng trên phiên bản adobe flash 9 và trở về trước, từ phiên bản 10
NETWORK SECURITY – Clickjacking 11
Lừa người dùng facebook đến một trang web
Khiến họ Click vào
Khai thác
Bạn bè của họ vào facebook của họ và nhấn vào liên kết
A. TÌM HIỂU VỀ THỦ ĐOẠN LỪA
CLICKJACKING TRÊN FACEBOOK
NETWORK SECURITY – Clickjacking 12
•
không dùng tùy chọn X-Frame trong http
•
không xem trọng khi cấu trúc frame bị đổ vỡ
Không có sự
bảo vệ
•
Các URL gửi đến nạn nhân phải được xác định trước
•
Không yêu cầu xác thực CSRF ( Cross site request forgery) và xác thực
session token (xác thực thẻ bài )
Dự đoán liên kết
(URL)
•
Mọi thao tác đều hỗ trợ cho hacker
•
Cú nhấp chuột khiến việc tiếp cận mục tiêu dễ dàng hơn
•
cú click chuột đơn đơn giản hơn là nhiều cú click chuột và kéo thả
Single Click (click
chuột đơn)
Các ứng dụng web đều dễ bị Clickjacking ?
Xem xét 3 điều kiện :
NETWORK SECURITY – Clickjacking 13
III. Clickjacking và Wordpres s
•
WordPress là một mã nguồn web mở để quản trị nội dung (CMS
– Content Management System) và cũng là một nền tảng blog
(Blog Platform) được viết trên ngôn ngữ PHP sử dụng hệ quản trị
cơ sở dữ liệu MySQL được phát hành đầu tiên vào ngày
27/5/2003 bởi Matt Mullenweg và Mike Little.
•
Wordpress gần đây đã fix được lỗi tấn công Clickjacking, thế
nhưng thật sự thì không có một mối đe dọa cụ thể nào với
Wordpress.
NETWORK SECURITY – Clickjacking 14
Lừa người quản
trị đến một
trang web
Họ Click chuột
vào
Khai thác
A. MÔ TẢ CLICKJACKING TRÊN
WORDPRESS
NETWORK SECURITY – Clickjacking 15
B. MÔ TẢ CODE CLICKJACKING
WORDPRESS
Div bên ngoài là 1
cửa sổ nhỏ
iFrame bên trong là 1
trang web plugin
NETWORK SECURITY – Clickjacking 16
B. MÔ TẢ CODE CLICKJACKING
WORDPRESS
#outerdiv { width:100px; height:30px; overflow:hidden; position:absolute;
top:113px; left:335px; z-index:10; opacity:0; }
#inneriframe { position:absolute; top:-40px; left:-10px; width:200px;
height:100px; border: none;}
<div id="outerdiv">
<iframe id="inneriframe" scrolling="no" src="http://wordpress/wp-
admin/plugin-install.php ">
</iframe>
</div>
NETWORK SECURITY – Clickjacking 17
NETWORK SECURITY – Clickjacking 18
•
Sự tinh vi của Clickjacking chưa dừng lại ở việc tải Plugin hay
tự cài đặt phần mềm vào máy người dùng. Chúng có thể gắn
Trojan, virus hay Malware, Spyware vào máy của nạn nhân và
thực hiện mục đích nào đó. Frame nội bộ sẽ chạy Plugin được
đặt tên _parent.
NETWORK SECURITY – Clickjacking 19
NETWORK SECURITY – Clickjacking 20
<iframe id="innerframe" class="innerframe" scrolling= "no"
src="data:text/html;charset=utf-8,
snip
<iframe name='_parent' scrolling='no' src='http://wordpress/wp-
admin/plugin-install.php '></iframe>"></iframe>
Lừa người quản trị đến một
trang web
Họ Click chuột vào
Khai thác
Khai thác với những mục
tiêu lớn hơn
•
Bằng cách nào ???
MINH HỌA QUÁ TRÌNH
NETWORK SECURITY – Clickjacking 21
Khai thác những lỗ hổng trở nên dễ dàng hơ n.
•
Giao diện Wordpress yếu ớt trước việc chống lại Cross Site Scripting (XSS).
•
Bây giờ chỉ cần 1 cú click chuột thôi là đủ.
Sử dụng cách tấn công Cross Site Scripting (XSS) sẽ vô cùng hiệu quả.
Chỉ cần gắn J avaScript vào một trang.
Có thể thêm người quản trị hoặc upload lên những lỗ hổng
NETWORK SECURITY – Clickjacking 22
http://wordpress/wp-content/plugins/slidepress/tools/preview.php?sspWidth=1
&sspHeight=</script><script>alert(document.cookie)</script>&sspGalleryId=1
MINH HỌA QUÁ TRÌNH
NETWORK SECURITY – Clickjacking 23
Lừa người quản trị đến
một trang web
Họ Click chuột vào
Cài đặt những Plugin khai
thác lỗ hổng
Khai thác lỗ hổng
IV. BẢO VỆ ỨNG DỤNG WEB
TRƯỚC CLICKJACKING
•
Client s ide protection ( bảo vệ trên máy khách )
–
Không cho Script plugin trên trình duyệt.
–
Đã được sử dụng từ năm 2009.
•
Server s ide protection ( bảo vệ trên s erver )
–
Frame busting/ Frame killing
–
Frame busting nằm trong top 500 trang web có thể phòng thủ.
–
Busting Frame busting : một trang học phổ biến về những điểm yếu trước Clickjacking được sáng lập
bởi Gustav Rydstedt, Elie Bursztein, Dan Boneh và Collin J ackson từ tháng 7 năm 2010.
•
X-Frame-Option header (2009) Tùy chọn cài đặt X-Frame
–
Internet Explorer, Safari, Firefox, Chrome
NETWORK SECURITY – Clickjacking 24
CÀI ĐẶT TÙY CHỈNH X-FRAME KHÔNG KHÓ!
•
Cài đặt :
–
Chèn một HTTP header để bảo vệ trang web khỏi bị phá vỡ cấu trúc.
•
Giá trị X-Frame :
–
SameOrigin
•
Cho phép duy nhất một trang trong tên miền nằm trong cấu trúc trang.
–
Deny
•
Ngăn chặn bất kì site nào xâm phạm cấu trúc trang.
NETWORK SECURITY – Clickjacking 25
