Bảo mât & an ninh mạng: Clickjacking
Chia sẻ bởi Ngô Kim Châu |
Ngày 19/03/2024 |
11
Chia sẻ tài liệu: Bảo mât & an ninh mạng: Clickjacking thuộc Công nghệ thông tin
Nội dung tài liệu:
BẢO MẬT VÀ AN NINH MẠNG
Phần : Clickjacking
Sinh viên thực hiện :
Nguyễn Ngọc Sơn – K38.104.173
Trần Thế Phi – K38.104.161
Nguyễn Thị Loan – K38.104.131
Trần Mạnh Thành Hiếu – K38.104.105
Ngô Kim Châu – K38.104.084
Phạm Thị Thu Thủy – K38.104.189
Huỳnh Văn Sáu – K38.104.052
Đoàn Công Huân – K38.104.110
NETWORK SECURITY – Clickjacking
1
Nội dung:
Clickjacking là gì ?
Thực trạng Clickjacking.
Clickjacking và Wordpress.
Làm sao để bảo vệ ứng dụng web khỏi Clickjacking ?
NETWORK SECURITY – Clickjacking
2
I. Clickjacking là gì ?
Clickjacking (còn được gọi là "UI redress attack") là một thuật ngữ diễn tả việc lừa người sử dụng click chuột vào một liên kết nhìn bề ngoài có vẻ "trong sạch" trong các trang web, tuy nhiên qua cú click chuột đó hacker có thể lấy được các thông tin bí mật của người sử dụng hay kiểm soát máy tính của họ.
NETWORK SECURITY – Clickjacking
3
A. MÔ TẢ CÁCH THỨC HOẠT ĐỘNG CỦA CLICKJACKING
NETWORK SECURITY – Clickjacking
4
VD:
NETWORK SECURITY – Clickjacking
5
B. VÀI TÍNH CHẤT CỦA HTML LIÊN QUAN
Iframe :
Một trang web có thể chứa đựng thêm một trang web bên trong nó. Ví dụ : Google maps
NETWORK SECURITY – Clickjacking
6
B. VÀI TÍNH CHẤT CỦA HTML LIÊN QUAN
Opacity ( tính làm mờ )
Các phần của HTML có thể hòa lẫn với nhau, được làm mờ đi hoặc trở nên trong suốt.
NETWORK SECURITY – Clickjacking
7
B. VÀI TÍNH CHẤT CỦA HTML LIÊN QUAN
Stacking Order ( xếp theo thứ tự )
Các phần tử của HTML có thể xếp chồng lên nhau.
NETWORK SECURITY – Clickjacking
8
B. VÀI TÍNH CHẤT CỦA HTML LIÊN QUAN
Stacking + Opacity ( vừa xếp chồng lên nhau, vừa làm mờ và trở nên trong suốt )
Một phần tử có thể được đưa lên đầu trang và trở nên vô hình.
NETWORK SECURITY – Clickjacking
9
C. VÍ DỤ ĐƠN GIẢN VỀ CODE CLICKJACKING
Ẩn iframe lên trên
“Clame your prize” đã
được ẩn dấu với quảng
cáo
NETWORK SECURITY – Clickjacking
10
II. Thực trạng Clickjacking
Twitter
Khai thác : Buộc người dùng Twitter gửi tin nhắn.
Facebook
Khai thác : Buộc người dùng nhấn nút Like.
Advertising and Affiliate Networks (các liên kết quảng cáo)
Khai thác : Buộc người dùng phải click vào quảng cáo để kiếm tiền cho các dịch vụ quảng cáo.
Adobe Flash
Khai thác : Điều chỉnh các cài đặt bảo mật để tự bật và kiểm soát camera, microphone của người dùng. Tuy nhiên điều này chỉ tác dụng trên phiên bản adobe flash 9 và trở về trước, từ phiên bản 10
NETWORK SECURITY – Clickjacking
11
A. TÌM HIỂU VỀ THỦ ĐOẠN LỪA CLICKJACKING TRÊN FACEBOOK
NETWORK SECURITY – Clickjacking
12
Các ứng dụng web đều dễ bị Clickjacking ?
Xem xét 3 điều kiện :
NETWORK SECURITY – Clickjacking
13
III. Clickjacking và Wordpress
WordPress là một mã nguồn web mở để quản trị nội dung (CMS – Content Management System) và cũng là một nền tảng blog (Blog Platform) được viết trên ngôn ngữ PHP sử dụng hệ quản trị cơ sở dữ liệu MySQL được phát hành đầu tiên vào ngày 27/5/2003 bởi Matt Mullenweg và Mike Little.
Wordpress gần đây đã fix được lỗi tấn công Clickjacking, thế nhưng thật sự thì không có một mối đe dọa cụ thể nào với Wordpress.
NETWORK SECURITY – Clickjacking
14
A. MÔ TẢ CLICKJACKING TRÊN WORDPRESS
NETWORK SECURITY – Clickjacking
15
B. MÔ TẢ CODE CLICKJACKING WORDPRESS
Div bên ngoài là 1 cửa sổ nhỏ
iFrame bên trong là 1
trang web plugin
NETWORK SECURITY – Clickjacking
16
B. MÔ TẢ CODE CLICKJACKING WORDPRESS
#outerdiv { width:100px; height:30px; overflow:hidden; position:absolute;
top:113px; left:335px; z-index:10; opacity:0; }
#inneriframe { position:absolute; top:-40px; left:-10px; width:200px; height:100px; border: none;}
NETWORK SECURITY – Clickjacking
17
NETWORK SECURITY – Clickjacking
18
Sự tinh vi của Clickjacking chưa dừng lại ở việc tải Plugin hay tự cài đặt phần mềm vào máy người dùng. Chúng có thể gắn Trojan, virus hay Malware, Spyware vào máy của nạn nhân và thực hiện mục đích nào đó. Frame nội bộ sẽ chạy Plugin được đặt tên _parent.
NETWORK SECURITY – Clickjacking
19
NETWORK SECURITY – Clickjacking
20
MINH HỌA QUÁ TRÌNH
NETWORK SECURITY – Clickjacking
21
Khai thác những lỗ hổng trở nên dễ dàng hơn.
Giao diện Wordpress yếu ớt trước việc chống lại Cross Site Scripting (XSS).
Bây giờ chỉ cần 1 cú click chuột thôi là đủ.
Sử dụng cách tấn công Cross Site Scripting (XSS) sẽ vô cùng hiệu quả.
Chỉ cần gắn JavaScript vào một trang.
Có thể thêm người quản trị hoặc upload lên những lỗ hổng
NETWORK SECURITY – Clickjacking
22
http://wordpress/wp-content/plugins/slidepress/tools/preview.php?sspWidth=1 &sspHeight=&sspGalleryId=1
MINH HỌA QUÁ TRÌNH
NETWORK SECURITY – Clickjacking
23
Lừa người quản trị đến một trang web
Họ Click chuột vào
Cài đặt những Plugin khai thác lỗ hổng
Khai thác lỗ hổng
IV. BẢO VỆ ỨNG DỤNG WEB TRƯỚC CLICKJACKING
Client side protection ( bảo vệ trên máy khách )
Không cho Script plugin trên trình duyệt.
Đã được sử dụng từ năm 2009.
Server side protection ( bảo vệ trên server )
Frame busting/ Frame killing
Frame busting nằm trong top 500 trang web có thể phòng thủ.
Busting Frame busting : một trang học phổ biến về những điểm yếu trước Clickjacking được sáng lập bởi Gustav Rydstedt, Elie Bursztein, Dan Boneh và Collin Jackson từ tháng 7 năm 2010.
X-Frame-Option header (2009) Tùy chọn cài đặt X-Frame
Internet Explorer, Safari, Firefox, Chrome
NETWORK SECURITY – Clickjacking
24
CÀI ĐẶT TÙY CHỈNH X-FRAME KHÔNG KHÓ!
Cài đặt :
Chèn một HTTP header để bảo vệ trang web khỏi bị phá vỡ cấu trúc.
Giá trị X-Frame :
SameOrigin
Cho phép duy nhất một trang trong tên miền nằm trong cấu trúc trang.
Deny
Ngăn chặn bất kì site nào xâm phạm cấu trúc trang.
NETWORK SECURITY – Clickjacking
25
VÍ DỤ VỀ BẢO VỆ TRƯỚC CLICKJACKING
Wordpress.org sử dụng policy SAMEORIGIN
~$ curl -i www.wordpress.org/wp-login.php
HTTP/1.1 200 OK
Server: nginx
Date: Wed, 07 Sep 2011 03:09:38 GMT
Content-Type: text/html; charset=UTF-8
Connection: close
Vary: Accept-Encoding
Expires: Wed, 11 Jan 1984 05:00:00 GMT
Last-Modified: Wed, 07 Sep 2011 03:09:38 GMT
Cache-Control: no-cache, must-revalidate, max-age=0
Pragma: no-cache
Set-Cookie: wordpress_test_cookie=WP+Cookie+check; path=/;
domain=.wordpress.org
X-Frame-Options: SAMEORIGIN
Content-Length: 2265
NETWORK SECURITY – Clickjacking
26
Internet Explorer
Inform the users
Firefox
Blank Frame
Chrome
Blank Frame
NETWORK SECURITY – Clickjacking
27
TỔNG KẾT
The good news – Tin vui :
Clickjacking rất dễ ngăn chặn.
The bad news – Tin buồn :
Ngày nay, các lỗ hổng bảo mật càng trở nên phổ biến.
Còn rất nhiều ứng dụng web khác là miếng mồi của clickjacking, không chỉ có WordPress.
NETWORK SECURITY – Clickjacking
28
Chân thành cảm ơn sự theo dõi của thầy và các bạn!
Sinh viên thực hiện :
Nguyễn Ngọc Sơn – K38.104.173
Trần Thế Phi – K38.104.161
Nguyễn Thị Loan – K38.104.131
Trần Mạnh Thành Hiếu – K38.104.105
Ngô Kim Châu – K38.104.084
Phạm Thị Thu Thủy – K38.104.189
Huỳnh Văn Sáu – K38.104.052
Đoàn Công Huân – K38.104.110
NETWORK SECURITY – Clickjacking
29
Phần : Clickjacking
Sinh viên thực hiện :
Nguyễn Ngọc Sơn – K38.104.173
Trần Thế Phi – K38.104.161
Nguyễn Thị Loan – K38.104.131
Trần Mạnh Thành Hiếu – K38.104.105
Ngô Kim Châu – K38.104.084
Phạm Thị Thu Thủy – K38.104.189
Huỳnh Văn Sáu – K38.104.052
Đoàn Công Huân – K38.104.110
NETWORK SECURITY – Clickjacking
1
Nội dung:
Clickjacking là gì ?
Thực trạng Clickjacking.
Clickjacking và Wordpress.
Làm sao để bảo vệ ứng dụng web khỏi Clickjacking ?
NETWORK SECURITY – Clickjacking
2
I. Clickjacking là gì ?
Clickjacking (còn được gọi là "UI redress attack") là một thuật ngữ diễn tả việc lừa người sử dụng click chuột vào một liên kết nhìn bề ngoài có vẻ "trong sạch" trong các trang web, tuy nhiên qua cú click chuột đó hacker có thể lấy được các thông tin bí mật của người sử dụng hay kiểm soát máy tính của họ.
NETWORK SECURITY – Clickjacking
3
A. MÔ TẢ CÁCH THỨC HOẠT ĐỘNG CỦA CLICKJACKING
NETWORK SECURITY – Clickjacking
4
VD:
NETWORK SECURITY – Clickjacking
5
B. VÀI TÍNH CHẤT CỦA HTML LIÊN QUAN
Iframe :
Một trang web có thể chứa đựng thêm một trang web bên trong nó. Ví dụ : Google maps
NETWORK SECURITY – Clickjacking
6
B. VÀI TÍNH CHẤT CỦA HTML LIÊN QUAN
Opacity ( tính làm mờ )
Các phần của HTML có thể hòa lẫn với nhau, được làm mờ đi hoặc trở nên trong suốt.
NETWORK SECURITY – Clickjacking
7
B. VÀI TÍNH CHẤT CỦA HTML LIÊN QUAN
Stacking Order ( xếp theo thứ tự )
Các phần tử của HTML có thể xếp chồng lên nhau.
NETWORK SECURITY – Clickjacking
8
B. VÀI TÍNH CHẤT CỦA HTML LIÊN QUAN
Stacking + Opacity ( vừa xếp chồng lên nhau, vừa làm mờ và trở nên trong suốt )
Một phần tử có thể được đưa lên đầu trang và trở nên vô hình.
NETWORK SECURITY – Clickjacking
9
C. VÍ DỤ ĐƠN GIẢN VỀ CODE CLICKJACKING
Win Big
You are the lucky millionth visitor.
You have won a mystery prize.
Ẩn iframe lên trên
“Clame your prize” đã
được ẩn dấu với quảng
cáo
NETWORK SECURITY – Clickjacking
10
II. Thực trạng Clickjacking
Khai thác : Buộc người dùng Twitter gửi tin nhắn.
Khai thác : Buộc người dùng nhấn nút Like.
Advertising and Affiliate Networks (các liên kết quảng cáo)
Khai thác : Buộc người dùng phải click vào quảng cáo để kiếm tiền cho các dịch vụ quảng cáo.
Adobe Flash
Khai thác : Điều chỉnh các cài đặt bảo mật để tự bật và kiểm soát camera, microphone của người dùng. Tuy nhiên điều này chỉ tác dụng trên phiên bản adobe flash 9 và trở về trước, từ phiên bản 10
NETWORK SECURITY – Clickjacking
11
A. TÌM HIỂU VỀ THỦ ĐOẠN LỪA CLICKJACKING TRÊN FACEBOOK
NETWORK SECURITY – Clickjacking
12
Các ứng dụng web đều dễ bị Clickjacking ?
Xem xét 3 điều kiện :
NETWORK SECURITY – Clickjacking
13
III. Clickjacking và Wordpress
WordPress là một mã nguồn web mở để quản trị nội dung (CMS – Content Management System) và cũng là một nền tảng blog (Blog Platform) được viết trên ngôn ngữ PHP sử dụng hệ quản trị cơ sở dữ liệu MySQL được phát hành đầu tiên vào ngày 27/5/2003 bởi Matt Mullenweg và Mike Little.
Wordpress gần đây đã fix được lỗi tấn công Clickjacking, thế nhưng thật sự thì không có một mối đe dọa cụ thể nào với Wordpress.
NETWORK SECURITY – Clickjacking
14
A. MÔ TẢ CLICKJACKING TRÊN WORDPRESS
NETWORK SECURITY – Clickjacking
15
B. MÔ TẢ CODE CLICKJACKING WORDPRESS
Div bên ngoài là 1 cửa sổ nhỏ
iFrame bên trong là 1
trang web plugin
NETWORK SECURITY – Clickjacking
16
B. MÔ TẢ CODE CLICKJACKING WORDPRESS
#outerdiv { width:100px; height:30px; overflow:hidden; position:absolute;
top:113px; left:335px; z-index:10; opacity:0; }
#inneriframe { position:absolute; top:-40px; left:-10px; width:200px; height:100px; border: none;}
NETWORK SECURITY – Clickjacking
17
NETWORK SECURITY – Clickjacking
18
Sự tinh vi của Clickjacking chưa dừng lại ở việc tải Plugin hay tự cài đặt phần mềm vào máy người dùng. Chúng có thể gắn Trojan, virus hay Malware, Spyware vào máy của nạn nhân và thực hiện mục đích nào đó. Frame nội bộ sẽ chạy Plugin được đặt tên _parent.
NETWORK SECURITY – Clickjacking
19
NETWORK SECURITY – Clickjacking
20
MINH HỌA QUÁ TRÌNH
NETWORK SECURITY – Clickjacking
21
Khai thác những lỗ hổng trở nên dễ dàng hơn.
Giao diện Wordpress yếu ớt trước việc chống lại Cross Site Scripting (XSS).
Bây giờ chỉ cần 1 cú click chuột thôi là đủ.
Sử dụng cách tấn công Cross Site Scripting (XSS) sẽ vô cùng hiệu quả.
Chỉ cần gắn JavaScript vào một trang.
Có thể thêm người quản trị hoặc upload lên những lỗ hổng
NETWORK SECURITY – Clickjacking
22
http://wordpress/wp-content/plugins/slidepress/tools/preview.php?sspWidth=1 &sspHeight=&sspGalleryId=1
MINH HỌA QUÁ TRÌNH
NETWORK SECURITY – Clickjacking
23
Lừa người quản trị đến một trang web
Họ Click chuột vào
Cài đặt những Plugin khai thác lỗ hổng
Khai thác lỗ hổng
IV. BẢO VỆ ỨNG DỤNG WEB TRƯỚC CLICKJACKING
Client side protection ( bảo vệ trên máy khách )
Không cho Script plugin trên trình duyệt.
Đã được sử dụng từ năm 2009.
Server side protection ( bảo vệ trên server )
Frame busting/ Frame killing
Frame busting nằm trong top 500 trang web có thể phòng thủ.
Busting Frame busting : một trang học phổ biến về những điểm yếu trước Clickjacking được sáng lập bởi Gustav Rydstedt, Elie Bursztein, Dan Boneh và Collin Jackson từ tháng 7 năm 2010.
X-Frame-Option header (2009) Tùy chọn cài đặt X-Frame
Internet Explorer, Safari, Firefox, Chrome
NETWORK SECURITY – Clickjacking
24
CÀI ĐẶT TÙY CHỈNH X-FRAME KHÔNG KHÓ!
Cài đặt :
Chèn một HTTP header để bảo vệ trang web khỏi bị phá vỡ cấu trúc.
Giá trị X-Frame :
SameOrigin
Cho phép duy nhất một trang trong tên miền nằm trong cấu trúc trang.
Deny
Ngăn chặn bất kì site nào xâm phạm cấu trúc trang.
NETWORK SECURITY – Clickjacking
25
VÍ DỤ VỀ BẢO VỆ TRƯỚC CLICKJACKING
Wordpress.org sử dụng policy SAMEORIGIN
~$ curl -i www.wordpress.org/wp-login.php
HTTP/1.1 200 OK
Server: nginx
Date: Wed, 07 Sep 2011 03:09:38 GMT
Content-Type: text/html; charset=UTF-8
Connection: close
Vary: Accept-Encoding
Expires: Wed, 11 Jan 1984 05:00:00 GMT
Last-Modified: Wed, 07 Sep 2011 03:09:38 GMT
Cache-Control: no-cache, must-revalidate, max-age=0
Pragma: no-cache
Set-Cookie: wordpress_test_cookie=WP+Cookie+check; path=/;
domain=.wordpress.org
X-Frame-Options: SAMEORIGIN
Content-Length: 2265
NETWORK SECURITY – Clickjacking
26
Internet Explorer
Inform the users
Firefox
Blank Frame
Chrome
Blank Frame
NETWORK SECURITY – Clickjacking
27
TỔNG KẾT
The good news – Tin vui :
Clickjacking rất dễ ngăn chặn.
The bad news – Tin buồn :
Ngày nay, các lỗ hổng bảo mật càng trở nên phổ biến.
Còn rất nhiều ứng dụng web khác là miếng mồi của clickjacking, không chỉ có WordPress.
NETWORK SECURITY – Clickjacking
28
Chân thành cảm ơn sự theo dõi của thầy và các bạn!
Sinh viên thực hiện :
Nguyễn Ngọc Sơn – K38.104.173
Trần Thế Phi – K38.104.161
Nguyễn Thị Loan – K38.104.131
Trần Mạnh Thành Hiếu – K38.104.105
Ngô Kim Châu – K38.104.084
Phạm Thị Thu Thủy – K38.104.189
Huỳnh Văn Sáu – K38.104.052
Đoàn Công Huân – K38.104.110
NETWORK SECURITY – Clickjacking
29
* Một số tài liệu cũ có thể bị lỗi font khi hiển thị do dùng bộ mã không phải Unikey ...
Người chia sẻ: Ngô Kim Châu
Dung lượng: |
Lượt tài: 1
Loại file:
Nguồn : Chưa rõ
(Tài liệu chưa được thẩm định)