Clickjacking (?) "demo"

[Sisupoika]

In riferimento alla news riportata nell'apposita sezione, e vista la curiosita' che questa cosa sta suscitando, ho preparato una piccola "demo" di cio' che al momento e' la scommessa piu' gettonata su cosa potrebbe essere il clickjacking di Hansen e Grossman.

E' soltanto una demo che a differenza di altre (ne ho viste un paio gia' in giro) non usa neanche il trucchetto della opacita', ma un altro sistema molto piu' crudo

Premessa: e' soltanto una demo scemotta, un malintenzionato serio potrebbe impiegare piu' che qualche minuto per rendere un fake perfettamente funzionale allo scopo, senza stupidate CSS ecc.

Assicuratevi di essere loggati al forum, fate quanto riportato sulla pagina, e tornate qui

(ma molti noteranno gia' qualcosa di familiare nello scherzetto )

Link: http://www.sisulabs.com/hwup-clickjacking.htm


dimenticavo: per curiosita' provate con diversi browsers e dite cosa accade.

[sampei.nihira]

Ehm.......
Ciao spostato....ehm scusa ho messo una "t" di troppo.....volevo scrivere SPOSATO !!!

[Sisupoika]

Quote:

Originariamente inviato da sampei.nihira

Ehm.......
Ciao spostato....ehm scusa ho messo una "t" di troppo.....volevo scrivere SPOSATO !!!

ops...grazie sampei...
dimenticate quel "diversi browsers"
ho dimenticato di mettere le patch per gli altri browsers.
provatelo con firefox e IE per ora

[Sisupoika]

(intendevo patch CSS)

[sampei.nihira]

Non provate ad usare nemmeno K-Meleon che ha un comportamento simile (non uguale) almeno la versione USB ad Opera (anche inserendo le funzioni identificati e mascherati).

Io sono allergico all'uso di I.E. e sul portatile non ho installato FF quindi aspetto pazientemente !!

[Sisupoika]

puoi provare di nuovo con opera? i css dovrebbero essere piu' o meno ok adesso

ricordati di loggarti al forum prima di fare la prova.
Se non sei loggato e non c'e' il cookie sul tuo browser, non funzionera'.
In questo esempio la "vittima" edita un campo di testo, ma in attacchi veri dei semplici click sono sufficienti per dirottare l'intenzione dell'utente su azioni di cui non e' consapevole. In tali casi - a differenza di questo esempio - si puo' rendere il sito "vittima" invisibile.
Se facessi cosi' con l'esempio qui riportato, non vedresti nulla anche se non sei loggato al forum (come invece si vede nell'immagine che hai allegato).
Se si dirotta soltanto un click, dunque... vabbeh, penso renda l'idea

[sampei.nihira]

Quote:

Originariamente inviato da Sisupoika

puoi provare di nuovo con opera? i css dovrebbero essere piu' o meno ok adesso

ricordati di loggarti al forum prima di fare la prova.
Se non sei loggato e non c'e' il cookie sul tuo browser, non funzionera'.
In questo esempio la "vittima" edita un campo di testo, ma in attacchi veri dei semplici click sono sufficienti per dirottare l'intenzione dell'utente su azioni di cui non e' consapevole. In tali casi - a differenza di questo esempio - si puo' rendere il sito "vittima" invisibile.
Se facessi cosi' con l'esempio qui riportato, non vedresti nulla anche se non sei loggato al forum (come invece si vede nell'immagine che hai allegato).
Se si dirotta soltanto un click, dunque... vabbeh, penso renda l'idea

Non funziona ancora con entrambi i browser. (cioè K-Meleon 1.5 e Opera 9.52).
Ero naturalmente loggato anche quando ho inserito le immagini sopra.

Sisu io, come credo qualsiasi altro utente che usa Opera, ho impostato il browser per "accettare i cookie solo dal sito che si visita" e questi sono cancellati all'uscita non navigo mai accettando indiscriminatamente tutti i cookie.
Tu vuoi dire che per fare il test devo cambiare le impostazioni ?

[riazzituoi]

.

[Sisupoika]

Quote:

Originariamente inviato da sampei.nihira

Non funziona ancora con entrambi i browser. (cioè K-Meleon 1.5 e Opera 9.52).
Ero naturalmente loggato anche quando ho inserito le immagini sopra.

Sisu io, come credo qualsiasi altro utente che usa Opera, ho impostato il browser per "accettare i cookie solo dal sito che si visita" e questi sono cancellati all'uscita non navigo mai accettando indiscriminatamente tutti i cookie.
Tu vuoi dire che per fare il test devo cambiare le impostazioni ?

Se cambi impostazioni e' normale che non funzioni.
Questa cosa funziona per quel 95% che non tocca nulla nel browser
Prova a resettare le impostazioni dei cookies per simulare una situazione di partenza "tipica" della maggioranza degli utenti. Poi loggati nel forum e apri, per es. in un altro tab, la mia pagina. Poi immetti del testo e clicca su salva.
Alla fine l'importante e' rendere l'idea che e' possibile far fare all'utente qualcosa senza che egli lo sappia.
Nel caso specifico non viene usato Javascript, ma sempre considerando quella stragrande maggioranza di utenti che lasciano Javascript normalmente attivo, combinando questa tecnica con qualche riga di JS puoi ottenere una cosa da paura
In quel caso puoi gestire meglio cosa mostrare e cosa no, cosa attivare e quando.

[Sisupoika]

Quote:

Originariamente inviato da riazzituoi

con le impostazioni di default di opera, e internet exploer 7 settato su protezione medio-allta e privacy medio-alta, funzia

esatto

ma c'e' una differenza, comunque, che rende IE meno vulnerabile, come ho tentato di spiegare nel thread dove hai riportato la news.
A causa della implementazione della P3P (Platform for Privacy Preferences) di IE, il giochetto funziona soltanto se hai una sessione attiva del forum loggato, mentre esegui la pagina incriminata.
Prova a chiudere ogni finestra di IE e ad aprire poi direttamente la mia pagina, vedrai che non funziona, anche se il cookie e' ancora li'.
Prova poi con altri browser e vedrai che il comportamento e' diverso.
Per questo dicevo che cosi' come sono i browser, IE e' meno vulnerabile di altri poiche' devi avere una sessione attiva sul sito vittima affinche' il trucco funzioni.

[eraser]

Certo che quando torni ti fai sempre sentire, non entri in punta di piedi eh

[Sisupoika]

Quote:

Originariamente inviato da eraser

Certo che quando torni ti fai sempre sentire, non entri in punta di piedi eh

A dire il vero sto cazzeggiando perche' un meeting e' saltato a causa di un altro a cui non partecipo, e sto aspettando delle direttive.
E tu? non dovresti essere a studiare invece di cazzeggiare sul forum come me?

[eraser]

E chi me lo da il tempo di studiare Il lavoro mi assorbe abbastanza

[Sisupoika]

Quote:

Originariamente inviato da eraser

E chi me lo da il tempo di studiare Il lavoro mi assorbe abbastanza

E meno male che e' soltanto una collaborazione a distanza, e se ti facessi assumere a tempo pieno?

Cmq come riprova del mio cazzeggiare, ho trovato questa cosa lollosa
http://www.impossibe.com/uk/index.php?m=Sisupoika

Create il vostro custom Google!




Ok, adesso torno serio

[eraser]

Quote:

Originariamente inviato da Sisupoika

E meno male che e' soltanto una collaborazione a distanza, e se ti facessi assumere a tempo pieno?

No no, da parecchio non è piu collaborazione a distanza

PS: sono tornato l'altro ieri dall'UK

[riazzituoi]

.

[Sisupoika]

Quote:

Originariamente inviato da eraser

No no, da parecchio non è piu collaborazione a distanza

PS: sono tornato l'altro ieri dall'UK

E non mi dici niente?
La prossima volta che vieni (se e' nei dintorni) fammi sapere, cosi' ci prendiamo un caffe' e proviamo a vedere quanto tempo trascorre prima che si incominci a parlare di queste cose

Quote:

Originariamente inviato da riazzituoi

Ho provato, ma è necessario chiudere completamente il browser (parlo di IE)...

yep

[eraser]

Quote:

Originariamente inviato da Sisupoika

E non mi dici niente?
La prossima volta che vieni (se e' nei dintorni) fammi sapere, cosi' ci prendiamo un caffe' e proviamo a vedere quanto tempo trascorre prima che si incominci a parlare di queste cose

Da quello che ho capito, sono piu o meno 2 ore e mezzo di strada (Derby)

[Sisupoika]

Quote:

Originariamente inviato da eraser

Da quello che ho capito, sono piu o meno 2 ore e mezzo di strada (Derby)

Derby? non so neanche di preciso dov'e' LOL

cmq seconda demo in arrivo a breve... e' in forno

[gabryflash]

Quote:

Originariamente inviato da Sisupoika

E meno male che e' soltanto una collaborazione a distanza, e se ti facessi assumere a tempo pieno?

Cmq come riprova del mio cazzeggiare, ho trovato questa cosa lollosa
http://www.impossibe.com/uk/index.php?m=Sisupoika

Create il vostro custom Google!




Ok, adesso torno serio

azz a me non funge la demo anche disattivando tutto ne ie7 ne ff 3 ???