Clickjacking - uma breve análise sobre o assunto

Publicado por André em 24/02/2010

[ Hits: 10.983 ]

Blog: http://127.0.0.1

 


Clickjacking - uma breve análise sobre o assunto



O Clickjacking permite que um cracker possa forjar um link, ou um botão de um determinado site, o que, obviamente pode trazer riscos e dores de cabeça.

A vulnerabilidade está presente em diversos navegadores como o Firefox, Opera, Internet Explorer entre outros, fazendo assim um maior estrago, e pelo que eu andei lendo ultimamente pelo assunto, pode acontecer do usuário malicioso ter acesso ao seu microfone e/ou webcam, devido a uma vulnerabilidade no Adobe Flash Player.

Por isso, sites de confiança, podem SIM estar infectados, com seus links e botões direcionando para sabe-se lá aonde... (imagine isso no site de um banco).

Já existem algumas "correções", que abaixo iremos conhecer.

Como é feito o Clickacking e qual são as possíveis correões

Um exemplo de um código que "infecta" um link seria este:

<a id="opa" href="http://www.juniorlinux.com.br/">Clique para visitar o site juniorlinux.com.br</a>
<script>
   document.getElementById("opa").onclick = function()
   {this.setAttribute("href", "http://www.vivaolinux.com.br/");}
</script>

A saída seria isso:
Linux: Clickjacking - Uma breve análise sobre o assunto
Mas como vocês podem ver, no cabeçalho da página está como ele iria direcionar para o meu site, o juniorlinux.com.br, isso você pode verificar na imagem acima, mas quando eu clico, olha só para onde ele é direcionado:
Linux: Clickjacking - Uma breve análise sobre o assunto
Bastante interessante, porém perigoso!

Uma das poucas formas realmente testadas e garantidas contra este tipo de ataque é fazer o uso do bom e velho Lynx, para quem não tem ele, pode instalá-lo via apt-get, para isso use o comando:

# apt-get install lynx

Só que como a vida não é fácil, ele é em modo de texto, e por isso muitos sites não vão rodar corretamente, então nós teremos de apelar para os complementos e plugins.

Eu já dei uma dica aqui no Viva o Linux sobre o NoScript, um complemento para Firefox, o que é uma ótima solução, bastante eficiente, porém, não é 100%

Esta minha dica sobre o NoScript pode ser visitada em: NoScript - Proteção quando o assunto e XSS e Clickjacking

E a Adobe, que não podia ficar fora dessa, por ser também um foco de ataque, publicou em seu blog uma "possível solução" para o clickjacking, você pode verificar isso nos links:

Conclusão

Como vimos nesta dica, há algumas formas de se proteger do ataque Clickjacking, porém, como nada é 100%, eu não garanto nada. A internet é um ambiente pouco seguro, onde novas vulnerabilidades podem ser descobertas a qualquer momento, e como consequência, quando não tomamos cuidado com esse tipo de coisa, o prejuízo pode ser grande.

As vezes muitos deixam de instalar esses plugins e complementos, pois acham que por visitarem o site de sempre estão seguros, mas não é por aí não... medidas de segurança sempre são bem vindas, procure sempre verificar os certificados de segurança, procurar por atualizações dos seus programas, como navegadores por exemplo, verificar por novos complementos que ajudam na segurança em sites como:
Porque segurança nunca é demais, procure sempre tomar as medicas de segurança cabíveis, e você terá menos dor de cabeça.

Referências:
Att Andre S. Rosa Junior
www.juniorlinux.com.br

Outras dicas deste autor

Try Python: Interpretador Python online

Causando BufferOverflow em servidores rodando o FreeFloat

Perícia Forense - Recuperar histórico do Firefox com o ff3hr

CPU-G: Capturando informações de hardware no Linux

NoScript - Proteção quando o assunto é XSS e Clickjacking

Leitura recomendada

Script para servidor espelho entrar no ar e notificar o administrador

Coisas para fazer após instalar Fedora 16

Gimp - Erro: Execution error for 'Screenshot' [Resolvido]

Precisando bular o proxy da empresa ou faculdade? Aprenda a instalar o TOR no CentOS

Documentação

  

Comentários
[1] Comentário enviado por reideer em 25/02/2010 - 08:41h

Pena que não é viável desativar scripts, pois hoje em dia é quase impossível encontrarmos um site que não tenha seu funcionamento baseado em javascript .



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts