практика Clickjacking на Linux.org.ru

clickjacking, lor

0

3

добрый вечер, друзья!

скоро пятница, и у меня уже пятничное настроение! :-)

и я вот подумал, а почему бы не обсудить с вами, друзья, тонкости такого редкого web-исскуства как Clickjacking!? я думаю — да(!), надо ведь! :-)

Clickjacking было бы слишком как-то нелепо относить к катеогрии «взлома».. так как ни чего серъёзного сделать через Clickjacking обычно нельзя.. проведение Clickjacking не требует особых технических знаний..

а зищититься от Clickjacking можно всего лишь одним HTTP-заголовком

X-Frame-Options: DENY

но так как на Linux.org.ru заголовка «X-Frame-Options: DENY» пока-что ещё нет, то я думаю ни кто не обидится если мы пофантазируем (и попрактикуемся? или нет?) на тему того, как мог бы выглядеть Clickjacking для Linux.org.ru?

[за это ведь не банят, да?! а то если банят — то это было бы очень неприятно для меня :-( :-( ...]

я подготивил небольшую web-страницу , в которой изображено именно моё видение Clickjacking..

..но думаю было бы интересно узнать и то каким видят Clickjacking — и другие пользователи Linux.org.ru..

здесь как я понимаю более важны социальные навыки (социальная инженерия) и воображение, чем знания web-программирования..

вобщем, высказывайтесь! думаю тема должна быть интересная и полезная! :)

# UPDATED:

разоблачение — практика Clickjacking на Linux.org.ru (комментарий)

Ссылка

←	Почему нужно отобрать мощные компы у разработчиков

О наставлении на путь истинный

→

← 1 2 →

Что скрипт делает?

// на кнопку не нажимал

~~vurdalak~~ ★★★★★
(28.11.13 18:09:54 MSK)

Посоны, не ходите, там вирус! Он сломал мой аккаунт, мою семерочку, мой тазик, и вообще всю мою жизнь! Пишу с кофемолки!

drull ★☆☆☆
(28.11.13 18:09:58 MSK)

Ответ на: комментарий от vurdalak 28.11.13 18:09:54 MSK

Что скрипт делает?

если я прям сейчас напишу что оно делает — то какой же во всём этом интересн..

...по позже и так будет ясно

впрочем там не 100% вероятность срабатывания...

(пароли точно не воруются. это всего лишь Clickjacking :))

user_id_68054 ★★★★★
(28.11.13 18:11:10 MSK) автор топика
Последнее исправление: user_id_68054 28.11.13 18:12:16 MSK (всего исправлений: 3)

Ответ на: комментарий от drull 28.11.13 18:09:58 MSK

мой тазик

Теперь это обсуждение действий модераторов?

~~vurdalak~~ ★★★★★
(28.11.13 18:11:20 MSK)

Ответ на: комментарий от user_id_68054 28.11.13 18:11:10 MSK

если я прям сейчас напишу что оно делает — то какой же во всём этом интересн..

Зато как будет интересно, когда никто не станет его пробовать!

~~vurdalak~~ ★★★★★
(28.11.13 18:12:29 MSK)

Ответ на: комментарий от vurdalak 28.11.13 18:12:29 MSK

Зато как будет интересно, когда никто не станет его пробовать!

ну если не пробовать — то может хотя бы посмотрят исходный код и предложат как они бы могли бы улучшить?

user_id_68054 ★★★★★
(28.11.13 18:13:52 MSK) автор топика
Последнее исправление: user_id_68054 28.11.13 18:14:27 MSK (всего исправлений: 1)

Ссылка

кнопа не работает, но я, на всякий случай, сменил пароль)

BambarbiyaKirgudu ☆
(28.11.13 18:14:40 MSK)

Ответ на: комментарий от BambarbiyaKirgudu 28.11.13 18:14:40 MSK

вы там хоть отписывайтесь браузер какой :) ...

сменил пароль

поменяй обратно. пароль нельзя украть через всё это говнокодерство :)

user_id_68054 ★★★★★
(28.11.13 18:16:56 MSK) автор топика

Ответ на: комментарий от user_id_68054 28.11.13 18:16:56 MSK

FF 25.0.1, Win7

BambarbiyaKirgudu ☆
(28.11.13 18:17:31 MSK)
Последнее исправление: BambarbiyaKirgudu 28.11.13 18:17:36 MSK (всего исправлений: 1)

Ответ на: комментарий от BambarbiyaKirgudu 28.11.13 18:17:31 MSK

у меня на FF работает.

на Win8 тоже по-пробовал :)

user_id_68054 ★★★★★
(28.11.13 18:18:27 MSK) автор топика

десь как я понимаю больее важны социальные навыки (социальная инженерия)

Ты просто считаешь, сколько раз нажали кнопку? :)

generator ★★★
(28.11.13 18:19:01 MSK)

Ответ на: комментарий от user_id_68054 28.11.13 18:18:27 MSK

так а что должно произойти? ты уж завладел номером и CVC моей карточки?

BambarbiyaKirgudu ☆
(28.11.13 18:19:17 MSK)

Ответ на: комментарий от generator 28.11.13 18:19:01 MSK

Ты просто считаешь, сколько раз нажали кнопку? :)

нее, но забавная шутка :) .. если бы у меня ни чего не срабатывало бы, то возможно у меня тоже была бы такая версия :)

user_id_68054 ★★★★★
(28.11.13 18:21:55 MSK) автор топика

Ссылка

Это подсчет количества !Ъ?

cipher ★★★★★
(28.11.13 18:22:08 MSK)

Ответ на: комментарий от BambarbiyaKirgudu 28.11.13 18:19:17 MSK

так а что должно произойти? ты уж завладел номером и CVC моей карточки?

открой исходный код и погляди.. возможно предложишь фикс этой печальной ситуации :)

user_id_68054 ★★★★★
(28.11.13 18:22:47 MSK) автор топика
Последнее исправление: user_id_68054 28.11.13 18:22:54 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от cipher 28.11.13 18:22:08 MSK

нет.

там вообще ни где ни какого счётчика нет. ни в каком (скрытом или не скрытом) виде.

user_id_68054 ★★★★★
(28.11.13 18:23:34 MSK) автор топика

Ответ на: комментарий от user_id_68054 28.11.13 18:23:34 MSK

там вообще ни где ни какого счётчика нет. ни в каком (скрытом или не скрытом) виде.

Ну мне-то это не известно, я Ъ. :)

cipher ★★★★★
(28.11.13 18:24:32 MSK)

Не работает. Opera 12.

metrokto ★★
(28.11.13 18:24:47 MSK)

Ссылка

Ответ на: комментарий от cipher 28.11.13 18:24:32 MSK

ну вот — теперь ты знаешь :)

user_id_68054 ★★★★★
(28.11.13 18:25:04 MSK) автор топика

Ссылка

А смешно :D (не запускал, чисто код зырю)

fornlr ★★★★★
(28.11.13 18:25:09 MSK)

Ссылка

А JS надо включать?

Pa
(28.11.13 18:25:24 MSK)

Ответ на: комментарий от Pa 28.11.13 18:25:24 MSK

А JS надо включать?

да, разумеется..

а все плугины и расширения — нужно отключить

user_id_68054 ★★★★★
(28.11.13 18:26:03 MSK) автор топика

Ответ на: комментарий от user_id_68054 28.11.13 18:26:03 MSK

«Славик, чёто я очкую» © Димон

Pa
(28.11.13 18:28:31 MSK)

Ссылка

sudo cast ZenitharChampion

fornlr ★★★★★
(28.11.13 18:31:10 MSK)

завтра утром ко мне возможно придёт свежая мысль почему оно не работает..

(ну или не ко мне)

user_id_68054 ★★★★★
(28.11.13 18:31:11 MSK) автор топика

Ссылка

А что можно такого сделать на странице maxcom'а если ты сам не maxcom?

edigaryev ★★★★★
(28.11.13 18:31:20 MSK)

Ответ на: комментарий от fornlr 28.11.13 18:31:10 MSK

sudo cast ZenitharChampion

ну ZenitharChampion нам на самом деле врядле поможет

user_id_68054 ★★★★★
(28.11.13 18:32:03 MSK) автор топика

Ответ на: комментарий от user_id_68054 28.11.13 18:32:03 MSK

Да я понимаю :D

fornlr ★★★★★
(28.11.13 18:32:53 MSK)
Последнее исправление: fornlr 28.11.13 18:33:00 MSK (всего исправлений: 1)

Не работает, а из кода я понял только что тут maxcom замешан.

vasyap73
(28.11.13 18:32:55 MSK)

Ссылка

Ответ на: комментарий от edigaryev 28.11.13 18:31:20 MSK

вообще работать должно с любым (почти!!) пользователем. просто maxcom прогружается по умолчанию.

но проблема правда в том что браузеры отображают контент немного по разному, а это важно для Clickjacking..

user_id_68054 ★★★★★
(28.11.13 18:33:58 MSK) автор топика

Ничего не происходит.

~~reserved~~ ★
(28.11.13 18:34:41 MSK)

Ссылка

Ответ на: комментарий от user_id_68054 28.11.13 18:33:58 MSK

вообще работать должно с любым (почти!!) пользователем. просто maxcom прогружается по умолчанию.

Ну, у меня например даже iframe не подгружается, судя по тому что браузер не обращается к LOR'у.

edigaryev ★★★★★
(28.11.13 18:38:12 MSK)

Ссылка

Ответ на: комментарий от fornlr 28.11.13 18:32:53 MSK

Да я понимаю :D

но на самом деле — что то мне подсказывает — что именно у него может сработать :)

user_id_68054 ★★★★★
(28.11.13 18:45:58 MSK) автор топика

Ссылка

Ответ на: комментарий от vurdalak 28.11.13 18:11:20 MSK

Нет, так как тазик не модератор.

Xellos ★★★★★
(28.11.13 18:45:58 MSK)

Ссылка

Так а что ты хотел сделать на странице maxcoma?

mau5
(28.11.13 18:50:26 MSK)

Ответ на: комментарий от mau5 28.11.13 18:50:26 MSK

Так а что ты хотел сделать на странице maxcoma?

нет, не обезательно.

но могу сразу сказать — что в твоём («mau5») случае.. а так же в случае «Xellos» и вероятнее всего «cipher» — ничего точно не случится.

user_id_68054 ★★★★★
(28.11.13 18:51:58 MSK) автор топика
Последнее исправление: user_id_68054 28.11.13 18:52:46 MSK (всего исправлений: 1)

/me ничего не понял.

/me испугался выключать NoScript. Кстати, у него есть какая-то защита, было бы прикольно, если бы кто проверил.

~~Falcon-peregrinus~~ ★★★★★
(28.11.13 18:52:35 MSK)

Ответ на: комментарий от Falcon-peregrinus 28.11.13 18:52:35 MSK

у кого защита? Flash на странице не используется.

требуется JS, CSS, и немного удачи :-)

[ну или возможно я слегка уже переутомился]

user_id_68054 ★★★★★
(28.11.13 18:53:06 MSK) автор топика
Последнее исправление: user_id_68054 28.11.13 18:54:57 MSK (всего исправлений: 2)

Если что-то произойдёт, как потом убрать последствия и сделать всё «как было»?

~~evilmanul~~ ★
(28.11.13 18:55:24 MSK)

Ответ на: комментарий от user_id_68054 28.11.13 18:51:58 MSK

Кстати, с adblock-ом отработало получше ( больше всякого с лора загрузило) но вроде тоже ничего :)

Так а почему не обязательно, там же по-моему только урл на профайл макскома и юзается. Это после беглого осмотра джс-а твоего.

mau5
(28.11.13 18:55:58 MSK)

Ответ на: комментарий от evilmanul 28.11.13 18:55:24 MSK

Если что-то произойдёт, как потом убрать последствия и сделать всё «как было»?

элементарно.

на крайний случай — можно будет сделать ещё лучше чем было :)

user_id_68054 ★★★★★
(28.11.13 18:57:05 MSK) автор топика

Ссылка

Ответ на: комментарий от mau5 28.11.13 18:55:58 MSK

но вроде тоже ничего :)

нет нет! вот именно ты можешь не стараться! именно у тебя (и ещё названных людей) ни чего не отработает! к сожелению

:-( :-(

это просто так вышло, ни чего личного :-)

user_id_68054 ★★★★★
(28.11.13 18:58:25 MSK) автор топика

Ответ на: комментарий от user_id_68054 28.11.13 18:53:06 MSK

Я таки проверил. И... Что должно случиться-то?

~~Falcon-peregrinus~~ ★★★★★
(28.11.13 18:58:48 MSK)

так ребята.

мне придётся удалиться..

на вопросы ответить смогу только ночью (если у меня будут силы)

...возможно к тому времени — тему уже удалят а на меня навешают минусов :)

user_id_68054 ★★★★★
(28.11.13 19:01:12 MSK) автор топика

Ссылка

Ответ на: комментарий от user_id_68054 28.11.13 18:53:06 MSK

NoScript таки встал на защиту - http://storage9.static.itmages.ru/i/13/1128/h_1385650909_8575733_6066a8dd95.png

Вот только... Что было-то?

~~Falcon-peregrinus~~ ★★★★★
(28.11.13 19:02:03 MSK)

Ответ на: комментарий от Falcon-peregrinus 28.11.13 18:58:48 MSK

Ну, эта хрень должна что-то делать с аккаунтом (или с помощью аккаунта), т.е. с тем, к чему у юзера есть права. То есть настройки, постинг, теги, etc. Так?

~~abcarado~~
(28.11.13 19:02:08 MSK)