LINUX.ORG.RU
ФорумTalks

практика Clickjacking на Linux.org.ru

 clickjacking,


0

3

добрый вечер, друзья!

скоро пятница, и у меня уже пятничное настроение! :-)

и я вот подумал, а почему бы не обсудить с вами, друзья, тонкости такого редкого web-исскуства как Clickjacking!? я думаю — да(!), надо ведь! :-)

Clickjacking было бы слишком как-то нелепо относить к катеогрии «взлома».. так как ни чего серъёзного сделать через Clickjacking обычно нельзя.. проведение Clickjacking не требует особых технических знаний..

а зищититься от Clickjacking можно всего лишь одним HTTP-заголовком

X-Frame-Options: DENY

но так как на Linux.org.ru заголовка «X-Frame-Options: DENY» пока-что ещё нет, то я думаю ни кто не обидится если мы пофантазируем (и попрактикуемся? или нет?) на тему того, как мог бы выглядеть Clickjacking для Linux.org.ru?

[за это ведь не банят, да?! а то если банят — то это было бы очень неприятно для меня :-( :-( ...]

я подготивил небольшую web-страницу , в которой изображено именно моё видение Clickjacking..

..но думаю было бы интересно узнать и то каким видят Clickjacking — и другие пользователи Linux.org.ru..

здесь как я понимаю более важны социальные навыки (социальная инженерия) и воображение, чем знания web-программирования..

вобщем, высказывайтесь! думаю тема должна быть интересная и полезная! :)

# UPDATED:

разоблачение — практика Clickjacking на Linux.org.ru (комментарий)

★★★★★

Последнее исправление: user_id_68054 (всего исправлений: 3)
Почему нужно отобрать мощные компы у разработчиков
О наставлении на путь истинный
1 2
Ответ на: комментарий от vurdalak

Положь ключи от машины времени на место.

Mitre ★★
()

не работает в хромиуме...

cetjs2 ★★★★★
()

В Firefox на чистом профиле не сработало. Судя по всему, максимум что я смог сделать «накликиваниями» по страничке (которая, кстати, после нажатия кнопки не изменилась, но подгрузился iframe) - нажал на кнопку «Удалить» и снёс свою аватарку.

Исходники я посмотрел, вроде безобидно, но ничего не понял, что же оно должно делать.

Возможно, дело в том, что с моим ником тоже нифига не должно работать?

Falcon-peregrinus ★★★★★
()
Ответ на: комментарий от Mitre

Дык я наоборот хотел страдать. Но не могу.

drull ★☆☆☆
()

С включенным Adblock ничего не произошло. Без AdBlock:

Спасибо за участие! возможно «что-то» произошло, а возможно нет...

Обратной связи у Clickjacking не существует, так что «аномалию» заметить сможете только Вы сами

Мне начинать бояться? Что должно произойти? Изменений на ЛОРе никаких не вижу.

Andrew ★★★
()
Последнее исправление: Andrew (всего исправлений: 2)

Кликджекинг (англ. Clickjacking) — механизм обмана пользователей интернета, при котором злоумышленник может получить доступ к конфиденциальной информации или даже получить доступ к компьютеру пользователя, заманив его на внешне безобидную страницу или внедрив вредоносный код на безопасную страницу.

OH SHI~

Andrew ★★★
()

Одни кулхацкеры на лоре.

observer ★★★
()

Сударь, у вас двойка по русскому, а вы ерундой занимаетесь. Не работает ваша кнопица (adblock, noscript, ghostery), даже не знаю почему. Делайте уроки, толку будет больше.

Stage1 ★★
()

нет бы зенитара массово игнорить, нет, надо обязательно на единственного максикома нападать

derlafff ★★★★★
()
Ответ на: комментарий от Mitre

Всё правильно, вендузятники должны страдать. :D

к сожелению пользователю «drull» — тоже не повезло. (ну или не повезло в ковычках)..

на него этот говнокод — уж точно подействовать не сможет.

чуть-ниже напишо что и как всё было.

порабы уже. прошло несколько часов, (а результата всё равно нет — ни у кого).

user_id_68054 ★★★★★
() автор топика

вобщем — рассказываю теперь всё.

кнопка «Произвести Clickjacking эксперимент!» — изначально вообще ни чего не делает.

(точнее сказать — она делает бесполезную работу, которая изначально ни как ни на что не влияет, ВООБЩЕ)

эта кнопка нужна только для отвода глаз :) .. и текст сверху от кнопки — нужен тоже только для отвода глаз.

так всё задумывалось изначально... ..но видемо я что-то не учёл и не сработал этот мой план... :(

а главные функциональные кнопки — находятся на голубом горизонтальном меню:

Shell-Скрипт «Чебурашка»

и

Список архивных Lab4Lor-экспериментов

именно внутри голубых кнопок находится Clickjacking :) [а не внутри безсполезной кнопки «Произвести Clickjacking эксперимент!»]

эффект:

если понажимать на эти кнопки в голубом горизонтальном меню — то может удалиться аватарка.[если повезёт! и если ваша аватарка не прямоугольная, как у некоторых.]

вот собственно и всё. :-)

идеальный вариант когда кнопки нажимаются в порядке слева-направо. :-) .. но беспорядосное хаотичное нажатие тоже может сработать.

# примечание: если у кого-то удалилась аватарка — её можно заново нагуглить через Google. в гугл-картинках она сохраняется.

user_id_68054 ★★★★★
() автор топика
Последнее исправление: user_id_68054 (всего исправлений: 3)

что это такое? пишу с тапка, погуглить не могу.

NeverLoved ★★★★★
()
Последнее исправление: NeverLoved (всего исправлений: 1)
Ответ на: комментарий от devl547

мож быть :)

я вообще тестил в FF — на разных компах.

а на Chrome — только на одном компьютере.

вообще Clickjacking — не надёжная штука.

или же я её не умею готовить :)

user_id_68054 ★★★★★
() автор топика
Последнее исправление: user_id_68054 (всего исправлений: 1)
Ответ на: комментарий от devl547

а какая цветовая тема LOR?

схема «solarized-swamp» — не работает точно. надеюсь она редкая тут :)

слишком она уж имеет нестандартные пропорции

user_id_68054 ★★★★★
() автор топика
Последнее исправление: user_id_68054 (всего исправлений: 1)
Ответ на: комментарий от Falcon-peregrinus

NoScript таки встал на защиту - http://storage9.static.itmages.ru/i/13/1128/h_1385650909_8575733_6066a8dd95.png

это очень интересно! а во время чего встал на защиту?

во время нажатия той самой кнопки — которая ни чего не делает?

user_id_68054 ★★★★★
() автор топика
Последнее исправление: user_id_68054 (всего исправлений: 1)
Ответ на: комментарий от Falcon-peregrinus

нажал на кнопку «Удалить» и снёс свою аватарку.

Исходники я посмотрел, вроде безобидно, но ничего не понял, что же оно должно делать.

ну вот это и должно :) . квест пройден, поздравляю :) . особо много не думаю что стоит ждать от любого Clickjacking.. (даже если мы говорили бы не про Linux.org.ru , а про какой-то другой сайт...)

обычно люди всякие Лайки накручивали через Clickjacking , как мне помнится.

может даже и до сих пор накручивают эти лайки. (может кто-то вкурсе и расскажет — как оно там сейчас? накручивается?)

user_id_68054 ★★★★★
() автор топика
Последнее исправление: user_id_68054 (всего исправлений: 2)
Ответ на: комментарий от devl547

black

вобщем, спасибо за подсказку!

попробовал починить.. но боюсь что теперь сломал что-нибудь другое :-)... весёлая эта штука

user_id_68054 ★★★★★
() автор топика
Ответ на: вобщем — рассказываю теперь всё. от user_id_68054

по поведению курсора и вырвиглазном цвете сразу палится что меню стрёмное и нажимать его не стоит

а кнопочка прикольная, да :)

BMX ★★☆
()
Последнее исправление: BMX (всего исправлений: 1)
Ответ на: комментарий от BMX

по поведению курсора и вырвиглазном цвете сразу палится что меню стрёмное и нажимать его не стоит

ды дизайнер — стрёмный из меня :) ..

могу поспорить — кто-то другой — смогбы оформить всё как надо :)

а вот с мерцанием курсора в правой кнопке — даже не знаю что делать

user_id_68054 ★★★★★
() автор топика
Ответ на: комментарий от MiniRoboDancer

Я слишком прямолинеен, чтобы на такое повестись.

примерно подобную «технику» — я встретил [и запомнил] много лет назад, когда пробовал что же есть такое социальные сети [в момент когда они только появлялись в России].

суть была в следующем:

допустим ты завёл аккаунт в социальной сети [в то время ещё не говорили по всюду «социальные сети это зло! за вами следят! вы теряете друзий! у вас начинается рак! ...! ...!»]

злоумышленница (предположим что злоумышленница это девушка) найдя вас в соц-сети — присылает личное сообщение [на стену или в личку]: общий смысл такой:

«привет! я [...блаблабла..такая-сякая...] красивая девушка, проголосуй за меня пожалуйста на этом сайте моделей http://....... . спасибочки!»

ты заходишь на этот сайт [если конечно заходишь:)], и там якобы анкета какой-то некой девушки, за которую можно проглосовать.

можно нажать кнопку «голосовать», и тогда счётчик голосования прибавляется +1. как будто бы настоящее голосование. :)

прямолинейный человек возможно сделал бы так:

1. увидел сообщение злоумышленницы [не думая о том что она есть злоумышленница].

2. защёл на [фальшивый] сайт.

3. нажал кнопку «голосовать».

4. закрыл сайт с довольной мыслью о том что сделал хорошее дело :) — помог красивой девушке.

а не прямолинейный человек при заходе на сайт начал бы тыкать там всё подрят в поисках полуотровенных фотографий этой модели. ну и естественно наткнулся бы на надпись о том что ему ну просто необходимо обновить AdobeFlashPlayerWithVirus.exe .. ну ты понял :)

user_id_68054 ★★★★★
() автор топика
6 марта 2014 г.

пффф, а я думал он просто сменить тему на «pony.org.ru»... а тут просто аватарку скосило... жаль.

reprimand ★★★★★
()
Ответ на: комментарий от reprimand

пффф, а я думал он просто сменить тему на «pony.org.ru»

даже не представляю сколько кликов надо украть чтобы пользователь в результате напечатал «PONY» :-D

кстате, да! идея! надо запросить функцию виртуальной клавиатуры на Linux-Org-Ru , чтобы можно было бы проделывать такие фокусы!

user_id_68054 ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
Почему нужно отобрать мощные компы у разработчиков
Talks
О наставлении на путь истинный