Clickjacking útok zvláda jedine Firefox s NoScript

27.09.2008 | 17:24 | dodoedo | Novinky

Vyzerá to tak, že "Clickjacking" útok, najnovšia forme malware útoku prakticky voči všetkým internetovým browserom, zvláda jedine Firefox s nainštalovaným NoScript s konfiguráciou zakázaných IFRAMEs v nastavení NoScript. Zdroj správy.

Pre pridávanie komentárov sa musíte prihlásiť.

    • re: 27.09.2008 | 17:52
      Avatar Frantisek Klabzuba Debian  Používateľ
      DEMO or GTFO
      • Re: re: 28.09.2008 | 14:05
        Avatar dodoedo Fedora Linux  Používateľ
        Halický, čo si tým DEMO or GTFO myslel ??!!
        Čakám tvoje vysvetlenie ....
        G. Orwell: "Čím více se společnost vzdaluje od pravdy, tím více bude nenávidět ty, kteří ji říkají."
        • Re: re: 28.09.2008 | 17:04
          Avatar Frantisek Klabzuba Debian  Používateľ
          Ze pokial neukazes proof-of-concept demo tak je to obycajny HOAX akych sa denne objavi viac ako 9000, resp. buzzword pre phishing. Nic viac. Spravicka o hovne.
          • Hovno .... 28.09.2008 | 19:40
            Avatar dodoedo Fedora Linux  Používateľ
            To si myslíš ty, ale ostatní so myslia o tom "hovne" napr. niečo iné:

            http://hackerslounge1.blogspot.com/2008/09/clickjacking.html
            http://www.planb-security.net/notclickjacking/iframetrick.html

            G. Orwell: "Čím více se společnost vzdaluje od pravdy, tím více bude nenávidět ty, kteří ji říkají."
            • Re: Hovno .... 28.09.2008 | 21:29
              Avatar Frantisek Klabzuba Debian  Používateľ
              Ano toto DEMO funguje! Velmi zaujimave. To je v podstate vsetko co som chcel od zaciatku.
    • noscript + no-iframes 27.09.2008 | 21:23
      MicE   Návštevník

      Mno neviem ... z popisu chyby sa neda uplne jasne pochopit ako taky utok moze fungovat, je teda otazne ci sa uz teraz (pred zverejnenim funcneho PoC kodu) da hovorit o tom, ze noscript s blokovanim iFrame-ov je funkcne riesenie na vsetky varianty clickjacking utokov.

      Ak je to ale naozaj tak, tak by som pre ludi ktori pouzivaju Operu odpurucil toto:

      1. Block external scripts
      2. zablokovanie iframes:
        • otvorte si novy tab a otvorte linku "about:config"
        • pouzite filter a hladajte "iframes"
        • odskritnite si "IFrames"

      Ak nic ine, zvysi to aspon trochu bezpecnost ...

    • safe konqueror 27.09.2008 | 21:36
      Avatar Tommy Angelo   Používateľ
      pouzivam Firefox vdaka takymto skvelim pluginom, kiezby konqueror dosiahol nieco podobne nebol by som proti ;)
    • re: 27.09.2008 | 22:43
      Avatar Zefram Cochrane MS Windows Vista Ultimate 64bi  Používateľ
      Neviem ako vy, ale ja ked idem na nejaku podvodnu stranku (typicky free porno), tak tam idem prave preto aby som na nieco klikol, nie je potrebne kradnut moje kliky, odovzdam ich dobrovolne. Alebo som nepochopil o co tam ide lebo ani wikipedia o clickjackingu nic nevie
      Slobodný font na technické kreslenie
      • Re: re: 27.09.2008 | 23:58
        Avatar dodoedo Fedora Linux  Používateľ
        Teraz fakt nerozumiem, čo si týmto chcel povedať, vymáčkni sa jasne ...
        G. Orwell: "Čím více se společnost vzdaluje od pravdy, tím více bude nenávidět ty, kteří ji říkají."
        • Re: re: 28.09.2008 | 00:56
          Avatar Zefram Cochrane MS Windows Vista Ultimate 64bi  Používateľ
          Co je to clickjacking a preco by som sa ho mal bat? JS bezi len na povodnej stranke, ku clipboardu sa nedostane, tak v com je problem?
          Slobodný font na technické kreslenie
          • Re: re: 28.09.2008 | 01:15
            MicE   Návštevník
            Problem je myslim v tom, ze ak mas na (hociakej) stranke napriklad skryty iframe element (alebo nejaky skript), tak ten ti moze "kradnut" kliky (odtial ten nazov clickjacking). Podla toho ako tu chybu popisuju to je skor chyba logiky (kazdeho) browsera, cize by to malo fungovat aj ked mas vypnuty javascript.

            Cize napriklad ty budes na stranke cnn.com, kliknes si na hociaku linku vramci obsahu stranky - napriklad aktualne pocasie, ale realne skoncis na falosnej CNN stranke, ktora ti bude podsuvat malware.

            Aspon tak som to pochopil z toho co sa zatial o tej chybe uverejnilo...
          • Re: re: 28.09.2008 | 12:56
            Avatar dodoedo Fedora Linux  Používateľ
            Prečítal si si "peknú" diskusiu k tomuto článku ?
            G. Orwell: "Čím více se společnost vzdaluje od pravdy, tím více bude nenávidět ty, kteří ji říkají."
LinuxOS.sk © 2004-2024 | LinuxOS.sk - Team | ISSN 1337-7639 | Osobné údaje | Odber noviniek
Hosting sponzorovaný vpsFree.cz o.s.