Cette technique permet a un pirate de vous "voler votre click de souris". Pour cela le pirate injecte dans votre navigateur une IFrame cachée(transparente) et specialement etudiee pour que vous voyez le site officiel. Ensuite il redirige l ensemble des événements de la souris vers son code Javascript/Ajax lui permettant alors d obtenir l ensemble des informations de click
Exemple pour une redirection sur Facebook :
L'exploitation de ce fonctionnement du navigateur à travers une injection bien placée peut donc dériver directement vers une vulnérabilité.Exemple ClickJacking Voici un exemple avec une frame cachée qui vous emmène sur http://www.facebook.com
En effet le navigateur "enverra" l'ensemble des éléments nécessaires sur le site "caché". Si vous êtes authentifié sur ledit site, vous y aurez accès dans aucun problème, le navigateur envoyant le cookie de session directement.
Le point important reste la protection contre les clickjacking. Nous verrons cela un peu plus loin.
Aucun commentaire:
Enregistrer un commentaire