Атаки DoubleClickjacking используют двойные клики для обхода защиты - «Новости» » Интернет технологии
sitename
Персональные компьютеры Аквариус
Персональные компьютеры Аквариус
 AMD не признаёт поражения на графическом направлении и обещает нокаутировать Nvidia с помощью Instinct MI450 - «Новости сети»
AMD не признаёт поражения на графическом направлении и обещает нокаутировать Nvidia с помощью Instinct MI450 - «Новости сети»
 Тест показал, что OLED-монитор «раздражает» выгоранием уже через 18 месяцев использования, но не всё так однозначно - «Новости сети»
Тест показал, что OLED-монитор «раздражает» выгоранием уже через 18 месяцев использования, но не всё так однозначно - «Новости сети»
 Отключения мобильного интернета сыграли на руку операторам сотовой связи, провайдерам и продавцам роутеров - «Новости сети»
Отключения мобильного интернета сыграли на руку операторам сотовой связи, провайдерам и продавцам роутеров - «Новости сети»
 Intel воскресила легендарный шестиядерник Core i5-10400 под новым именем Core i5-110 - «Новости сети»
Intel воскресила легендарный шестиядерник Core i5-10400 под новым именем Core i5-110 - «Новости сети»
 Microsoft выпустила официальный ISO-образ предварительной версии Windows 11 25H2 - «Новости сети»
Microsoft выпустила официальный ISO-образ предварительной версии Windows 11 25H2 - «Новости сети»
 График в мониторинге поисковых запросов: анализируйте данные эффективнее — «Блог для вебмастеров»
График в мониторинге поисковых запросов: анализируйте данные эффективнее — «Блог для вебмастеров»
 Межзвёздная комета «Оумуамуа» может оказаться фрагментом «экзо-Плутона» — и далеко не единственным - «Новости сети»
Межзвёздная комета «Оумуамуа» может оказаться фрагментом «экзо-Плутона» — и далеко не единственным - «Новости сети»
 Sapphire выпустила белые материнские платы PURE B850A WIFI и PURE B850M WIFI для Ryzen 9000 - «Новости сети»
Sapphire выпустила белые материнские платы PURE B850A WIFI и PURE B850M WIFI для Ryzen 9000 - «Новости сети»
 Google признала «стремительный упадок» открытого интернета — раньше она говорила совсем другое - «Новости сети»
Google признала «стремительный упадок» открытого интернета — раньше она говорила совсем другое - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Атаки DoubleClickjacking используют двойные клики для обхода защиты - «Новости»

✔Атаки DoubleClickjacking используют двойные клики для обхода защиты - «Новости»

11 января 2025 596 Новости / Ссылки / Отступы и поля / Сайтостроение / Преимущества стилей / Типы носителей / Текст / Самоучитель CSS / Видео уроки / Вёрстка / Добавления стилей 0

Независимый ИБ-исследователь Паулос Йибело (Paulos Yibelo) рассказал о новой разновидности кликджекинга (clickjacking) и дал этим атакам название DoubleClickjacking. Злоумышленники могут обманом вынудить пользователей совершить нужные действия с помощью двойных кликов мыши, тем самым обходя существующие средства защиты.


Термином clickjacking обычно обозначают ситуации, когда злоумышленники создают вредоносные страницы, где обманом заставляют посетителей нажимать на скрытые или замаскированные элементы. Обычно такие атаки осуществляются путем наложения на страницу скрытого iframe, созданного хакерами. Причем вредоносная страница проектируется таким образом, чтобы кнопки и ссылки скрытого iframe совпадали к нужными ссылками и кнопками целевой страницы.


Обычно злоумышленники завлекают пользователей на такие сайты, а затем вынуждают их кликнуть по ссылке или кнопке, например, для получения награды или просмотра картинки. Но когда человек нажимает на страницу, на самом деле он нажимает на ссылки и кнопки скрытого iframe, что потенциально может привести к выполнению вредоносных действий, включая, к примеру, авторизацию OAuth-приложений.


В последние годы разработчики браузеров внедрили ряд защитных функций, которые предотвращают большинство подобных атак, например, не позволяют передавать cookie между сайтами или устанавливают определенные ограничения (X-Frame-Options или frame-ancestors) для ресурсов, которые могут содержать iframe.


Однако Йибело рассказал о новом типе таких атак под названием DoubleClickjacking, где используются двойные клики, чтобы вынудить пользователей выполнять различные действия.


Так, злоумышленник создает сайт, на котором отображается безобидная на первый взгляд кнопка-приманка (например, «Нажмите здесь», чтобы посмотреть фильм). Когда посетитель нажимает на эту кнопку, создается новое окно, которое закрывает исходную страницу и содержит другую приманку, например, требует решить CAPTCHA для продолжения. Тем временем jаvascript на исходной странице в фоновом режиме изменяет страницу на другой сайт, на котором пользователь и должен совершить какое-то действие.


CAPTCHA в наложенном окне предлагает посетителю дважды кликнуть на какой-либо элемент страницы, чтобы решить задачу. При этом страница отслеживает события mousedown и, обнаружив таковое, быстро закрывает оверлей, в результате чего второй клик уже приходится на кнопку авторизации или ссылку на ранее скрытой под оверлеем странице.


В итоге пользователь случайно щелкает по кнопке, что может использоваться для установки плагина, подключение OAuth-приложения к учетной записи жертвы или подтверждения запроса многофакторной аутентификации.





Исследователь объясняет, что такие атаки обходят все существующие средства защиты от кликджекинга, поскольку DoubleClickjacking не использует iframe и не пытается передать cookie на другой домен. Вместо этого действия осуществляются непосредственно на легитимных сайтах.


Йибело утверждает, что атака представляет угрозу практически для всех сайтов в интернете, и прикладывает к своему отчету демонстрационные видео, в которых DoubleClickjacking применяется для захвата аккаунтов Shopify, Slack и Salesforce.


Хуже того, специалист пишет, что атака может использоваться и против браузерных расширений.


«Например, я создал PoC для популярных браузерных криптовалютных кошельков, и эта техника используется для авторизации web3-транзакций и dApps или отключения VPN, чтобы раскрыть IP-адрес, — объясняет Йибело. — Это можно реализовать и на мобильных телефонах, попросив жертву тапнуть два раза».


Для защиты от этого типа атак Йибелло предлагает использовать jаvascript, который можно добавить на страницу для отключения важных кнопок и ссылок вплоть до завершения жеста. Это должно предотвратить автоматическое нажатие на кнопку авторизации при отключении вредоносного оверлея. Также исследователь предлагает использовать специальный HTTP-заголовок, который ограничит или заблокирует быстрое переключение между окнами во время двойного клика.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Независимый ИБ-исследователь Паулос Йибело (Paulos Yibelo) рассказал о новой разновидности кликджекинга (clickjacking) и дал этим атакам название DoubleClickjacking. Злоумышленники могут обманом вынудить пользователей совершить нужные действия с помощью двойных кликов мыши, тем самым обходя существующие средства защиты. Термином clickjacking обычно обозначают ситуации, когда злоумышленники создают вредоносные страницы, где обманом заставляют посетителей нажимать на скрытые или замаскированные элементы. Обычно такие атаки осуществляются путем наложения на страницу скрытого iframe, созданного хакерами. Причем вредоносная страница проектируется таким образом, чтобы кнопки и ссылки скрытого iframe совпадали к нужными ссылками и кнопками целевой страницы. Обычно злоумышленники завлекают пользователей на такие сайты, а затем вынуждают их кликнуть по ссылке или кнопке, например, для получения награды или просмотра картинки. Но когда человек нажимает на страницу, на самом деле он нажимает на ссылки и кнопки скрытого iframe, что потенциально может привести к выполнению вредоносных действий, включая, к примеру, авторизацию OAuth-приложений. В последние годы разработчики браузеров внедрили ряд защитных функций, которые предотвращают большинство подобных атак, например, не позволяют передавать cookie между сайтами или устанавливают определенные ограничения (X-Frame-Options или frame-ancestors) для ресурсов, которые могут содержать iframe. Однако Йибело рассказал о новом типе таких атак под названием DoubleClickjacking, где используются двойные клики, чтобы вынудить пользователей выполнять различные действия. Так, злоумышленник создает сайт, на котором отображается безобидная на первый взгляд кнопка-приманка (например, «Нажмите здесь», чтобы посмотреть фильм). Когда посетитель нажимает на эту кнопку, создается новое окно, которое закрывает исходную страницу и содержит другую приманку, например, требует решить CAPTCHA для продолжения. Тем временем jаvascript на исходной странице в фоновом режиме изменяет страницу на другой сайт, на котором пользователь и должен совершить какое-то действие. CAPTCHA в наложенном окне предлагает посетителю дважды кликнуть на какой-либо элемент страницы, чтобы решить задачу. При этом страница отслеживает события mousedown и, обнаружив таковое, быстро закрывает оверлей, в результате чего второй клик уже приходится на кнопку авторизации или ссылку на ранее скрытой под оверлеем странице. В итоге пользователь случайно щелкает по кнопке, что может использоваться для установки плагина, подключение OAuth-приложения к учетной записи жертвы или подтверждения запроса многофакторной аутентификации. Исследователь объясняет, что такие атаки обходят все существующие средства защиты от кликджекинга, поскольку DoubleClickjacking не использует iframe и не пытается передать cookie на другой домен. Вместо этого действия осуществляются непосредственно на легитимных сайтах. Йибело утверждает, что атака представляет угрозу практически для всех сайтов в интернете, и прикладывает к своему отчету демонстрационные видео, в которых DoubleClickjacking применяется для захвата аккаунтов Shopify, Slack и Salesforce. Хуже того, специалист пишет, что атака может использоваться и против браузерных расширений. «Например, я создал PoC для популярных браузерных криптовалютных кошельков, и эта техника используется для авторизации web3-транзакций и dApps или отключения VPN, чтобы раскрыть IP-адрес, — объясняет Йибело. — Это можно реализовать и на мобильных телефонах, попросив жертву тапнуть два раза». Для защиты от этого типа атак Йибелло предлагает использовать jаvascript, который можно добавить на страницу для отключения важных кнопок и ссылок вплоть до завершения жеста. Это должно предотвратить автоматическое нажатие на кнопку авторизации при отключении вредоносного оверлея. Также исследователь предлагает использовать специальный HTTP-заголовок, который ограничит или заблокирует быстрое переключение между окнами во время двойного клика.
CSS
запостил(а)
Gardner
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: