maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-web/clickjacking.md'] to sr

Browse Source
This commit is contained in:
Translator 2025-01-06 10:28:53 +00:00
parent 2b4d4249f9
commit 5c28899251
1 changed files with 15 additions and 6 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

21
src/pentesting-web/clickjacking.md
View File

@ -15,7 +15,7 @@ Ponekad je moguće **popuniti vrednost polja obrasca koristeći GET parametre pr
Ako treba da korisnik **popuni obrazac** ali ne želiš da ga direktno pitaš da unese neke specifične informacije (kao što su email ili specifična lozinka koju znaš), možeš ga jednostavno zamoliti da **Drag\&Drop** nešto što će uneti tvoje kontrolisane podatke kao u [**ovom primeru**](https://lutfumertceylan.com.tr/posts/clickjacking-acc-takeover-drag-drop/). Ako treba da korisnik **popuni obrazac** ali ne želiš da ga direktno pitaš da unese neke specifične informacije (kao što su email ili specifična lozinka koju znaš), možeš ga jednostavno zamoliti da **Drag\&Drop** nešto što će uneti tvoje kontrolisane podatke kao u [**ovom primeru**](https://lutfumertceylan.com.tr/posts/clickjacking-acc-takeover-drag-drop/).
### Osnovni Payload ### Osnovni Payload
```markup ```css
<style> <style>
iframe { iframe {
position:relative; position:relative;
@ -35,7 +35,7 @@ z-index: 1;
<iframe src="https://vulnerable.com/email?email=asd@asd.asd"></iframe> <iframe src="https://vulnerable.com/email?email=asd@asd.asd"></iframe>
``` ```
### Multistep Payload ### Multistep Payload
```markup ```css
<style> <style>
iframe { iframe {
position:relative; position:relative;
@ -59,7 +59,7 @@ left:210px;
<iframe src="https://vulnerable.net/account"></iframe> <iframe src="https://vulnerable.net/account"></iframe>
``` ```
### Drag\&Drop + Click payload ### Drag\&Drop + Click payload
```markup ```css
<html> <html>
<head> <head>
<style> <style>
@ -92,9 +92,18 @@ background: #F00;
Ako ste identifikovali **XSS napad koji zahteva da korisnik klikne** na neki element da bi **pokrenuo** XSS i stranica je **ranjiva na clickjacking**, mogli biste to iskoristiti da prevarite korisnika da klikne na dugme/link.\ Ako ste identifikovali **XSS napad koji zahteva da korisnik klikne** na neki element da bi **pokrenuo** XSS i stranica je **ranjiva na clickjacking**, mogli biste to iskoristiti da prevarite korisnika da klikne na dugme/link.\
Primer:\ Primer:\
Pronašli ste **self XSS** u nekim privatnim podacima naloga (podaci koje **samo vi možete postaviti i čitati**). Stranica sa **formom** za postavljanje ovih podataka je **ranjiva** na **Clickjacking** i možete **prepopuniti** **formu** sa GET parametrima.\ Pronašli ste **self XSS** u nekim privatnim podacima naloga (podaci koje **samo vi možete postaviti i čitati**). Stranica sa **formom** za postavljanje ovih podataka je **ranjiva** na **Clickjacking** i možete **prepopuniti** **formu** sa GET parametrima.\
Napadač bi mogao pripremiti **Clickjacking** napad na tu stranicu **prepopunjavajući** **formu** sa **XSS payload** i **varajući** **korisnika** da **pošalje** formu. Tako, **kada se forma pošalje** i vrednosti se promene, **korisnik će izvršiti XSS**. Napadač bi mogao pripremiti **Clickjacking** napad na tu stranicu **prepopunjavajući** **formu** sa **XSS payload-om** i **prevariti** **korisnika** da **pošalje** formu. Tako, **kada se forma pošalje** i vrednosti su izmenjene, **korisnik će izvršiti XSS**.
## Strategije za ublažavanje Clickjacking ### DoubleClickjacking
Prvo [objašnjeno u ovom postu](https://securityaffairs.com/172572/hacking/doubleclickjacking-clickjacking-on-major-websites.html), ova tehnika bi tražila od žrtve da dvaput klikne na dugme na prilagođenoj stranici postavljenoj na specifičnoj lokaciji, i koristi razlike u vremenu između mousedown i onclick događaja da učita stranicu žrtve tokom dvostrukog klika tako da **žrtva zapravo klikne na legitimno dugme na stranici žrtve**.
Primer se može videti u ovom videu: [https://www.youtube.com/watch?v=4rGvRRMrD18](https://www.youtube.com/watch?v=4rGvRRMrD18)
> [!WARNING]
> Ova tehnika omogućava prevaru korisnika da klikne na 1 mesto na stranici žrtve zaobilaženjem svake zaštite protiv clickjacking-a. Tako da napadač treba da pronađe **osetljive akcije koje se mogu izvršiti sa samo 1 klikom, kao što su OAuth prompte za prihvatanje dozvola**.
## Strategije za ublažavanje Clickjacking-a
### Klijentske odbrane ### Klijentske odbrane
@ -108,7 +117,7 @@ Skripte koje se izvršavaju na klijentskoj strani mogu preduzeti akcije da spre
Međutim, ovi skripti za razbijanje okvira mogu biti zaobiđeni: Međutim, ovi skripti za razbijanje okvira mogu biti zaobiđeni:
- **Bezbednosne postavke pregledača:** Neki pregledači mogu blokirati ove skripte na osnovu svojih bezbednosnih postavki ili nedostatka podrške za JavaScript. - **Bezbednosne postavke pregledača:** Neki pregledači mogu blokirati ove skripte na osnovu svojih bezbednosnih postavki ili nedostatka podrške za JavaScript.
- **HTML5 iframe `sandbox` atribut:** Napadač može neutralisati skripte za razbijanje okvira postavljanjem `sandbox` atributa sa `allow-forms` ili `allow-scripts` vrednostima bez `allow-top-navigation`. Ovo sprečava iframe da verifikuje da li je on gornji prozor, npr., - **HTML5 iframe `sandbox` atribut:** Napadač može neutralisati skripte za razbijanje okvira postavljanjem `sandbox` atributa sa `allow-forms` ili `allow-scripts` vrednostima bez `allow-top-navigation`. Ovo sprečava iframe da proveri da li je on gornji prozor, npr.,
```html ```html
<iframe <iframe
id="victim_website" id="victim_website"