Clickjacking at Subdomain Google
FunTechSec - Clickjacking adalah teknik jahat untuk menipu pengguna agar mengklik sesuatu yang berbeda dari apa yang dirasakan pengguna, sehingga berpotensi mengungkapkan informasi rahasia atau memungkinkan orang lain untuk mengambil kendali komputer mereka sambil mengklik pada benda yang tampaknya tidak berbahaya, termasuk halaman web.
Site :
Langkah-langkah :
- Buka Browser milik anda.Disini saya menggunakan Mozilla Firefox.
- Kemudian telusuri salah satu dari ketiga site tersebut.
- Buka Teks Editor milik anda, disini saya menggunakan Sublime Text.
- Kemudian buat source code sebagai berikut :
<html>
<head>
<title>Tested Clickjacking</title>
</head>
<body>
<h1> Clickjacking by FuntechSec </h1>
<iframe src = "https://ai.google/" height = "850px" width = "1000px" style = "border: 3px"> </iframe>
</body>
</html>
<head>
<title>Tested Clickjacking</title>
</head>
<body>
<h1> Clickjacking by FuntechSec </h1>
<iframe src = "https://ai.google/" height = "850px" width = "1000px" style = "border: 3px"> </iframe>
</body>
</html>
- Setelah itu simpan source code tersebut dengan ekstensi html.
- Buka file yang telah disimpan dengan ekstensi html di browser dengan mengklik CTRL + O lalu buka file yang disimpan sebelumnya. Kemudian iframe akan muncul dari situs web.
Skenario serangan :
Siapa yang dapat melakukan Eksploitasi ini? Kemungkinan merupakan pihak yang tidak bertanggung jawab, yang ingin mengekstraksi data, penipuan, dan sebagainya.
Trik pengguna membajak halaman untuk melakukan tindakan yang tidak diinginkan dengan mengklik tautan tersembunyi. Pada halaman clickjacked, penyerang menunjukkan serangkaian tombol dummy, kemudian memuat halaman lain dalam lapisan transparan.
Para pengguna berpikir bahwa mereka mengklik tombol yang terlihat, padahal mereka benar-benar mengambil tindakan pada halaman tersembunyi.
Keuntungan Clickjacking
Meskipun situs menggunakan SSL, clickjacking tidak terpengaruh olehnya dan tidak terpengaruh oleh token CSRF.
Meskipun situs menggunakan SSL, clickjacking tidak terpengaruh olehnya dan tidak terpengaruh oleh token CSRF.
Cara menangani Clickjacking
Server Side Protection
#Frame Busting / Framekiller
yaitu dengan menyisipkan code javascript untuk melindungi halaman dari <iframe> tags melalui situs lain/browser.
Server Side Protection
#Frame Busting / Framekiller
yaitu dengan menyisipkan code javascript untuk melindungi halaman dari <iframe> tags melalui situs lain/browser.
<style> html{display:none;} </style>
<script>
if(self == top) {
document.documentElement.style.display = 'block';
} else {
top.location = self.location;
}
</script>
<script>
if(self == top) {
document.documentElement.style.display = 'block';
} else {
top.location = self.location;
}
</script>
Server & Client Side Protection
#X-Frame-Options
X-Frame-Options adalah http header yang belum lama direlease oleh Internet Engineering Task Force (IETF) untuk melindungi server dari Clickjacking.
0 Response to "Clickjacking at Subdomain Google"
Post a Comment