Tìm hiểu Clickjacking và cách phòng chống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang	40
Dung lượng	1,84 MB

Nội dung

MỤC LỤC DANH SÁCH HÌNH 3 DANH SÁCH TỪ VIẾT TẮT 4 LỜI NÓI ĐẦU 6 CHƯƠNG I: TỔNG QUAN TẤN CÔNG CLICKJACKING 7 1.1. Vài nét về tấn công Clickjacking 7 1.2. Khái niệm tấn công Clickjacking. 9 1.3. Mối đe dọa của Clickjacking 10 1.4. Các vấn đề về tấn công và phòng thủ chống Clickjacking 10 CHƯƠNG II: PHÂN LOẠI TẤN CÔNG CLICKJACKING VÀ PHƯƠNG PHÁP PHÒNG CHỐNG 14 2.1. Các kiểu tấn công clickjacking 14 2.2.Các biến thể mới của Clickjacking 21 2.3. Các phương pháp phòng chống Clickjacking 23 CHƯƠNG III: DEMO LIKEJACKING 31 3.1. Mục đích củademotấn côngLikejacking 31 Demo tấn côngLikejacking: 31 3.1. Cách phòngchống 32 KẾTLUẬN 38 TÀILIỆUTHAMKHẢO 39 DANH SÁCH HÌNH Hình 1: Kẻ tấn công chèn nút Like ẩn 14 Hình 2: Ví dụ về Frame ẩn 15 Hình 3: Kết quả hiển thị 16 Hình 4: Nút like trong suốt ở vị trí con trỏ chuột chứa mã Javascript . 17 Hình 5: Bảng điều khiển Adobe Security Settings 18 Hình 6: Tấn công giả mạo con trỏ để chiếm quyền điều khiển webcam 23 Hình 7: Tấn công Doubleclick 24 Hình 8: Đảm bảotoànvẹnmụctiêuhiểnthị 27 Hình 9: HiệuứngLightbox 30 Hình 10: Hiệu suất của InContex 31 Hình 11: Web giả mạo chứa javascript 33 Hình 12: Link giả mạo 34 Hình 13: TắtJavaScriptởtrìnhduyệtGoogleChrome 35 Hình 14: TắtJavaScriptởtrìnhduyệtMozillaFirefox16.0 36 Hình 15: TắtJavaScriptởtrìnhduyệtIE 37 Hình 16: Vô hiệu hoá Frame ẩn trên trình duyệt Firefox 38 Hình 17: Đoạn Script giúp phát hiện và vô hiệu hoá frame ẩn 39 DANH SÁCH TỪ VIẾT TẮT Từ viết tắt Từ đầyđủ Chú giải UI UserInterface Giaodiệnngườidùng CSS CascadingStyleSheet Ngônngữquyđịnhcáchtrìnhbàycủa cácthẻ HTMLtrêntrangweb XSS CrosssiteScripting Lỗhổngchophéphackercóthểchènnhữngđoạnmãclientscript(thườnglàJavascripthoặcHTML)vàotrangweb,khingườidùngvàonhữngtrênwebnày,mãđộcsẽđượcthựcthitrênmáycủangườidùng ASP ActiveServerPage Cungcấpmộtkhung làmviệc chocác ứngdụngphíaServer PHP HypertextPreprocessor Ngônngữlậptrìnhkịchbảnhaymộtloạimãlệnhchủyếuđượcdùngđểpháttriểncácứngdụngviếtchomáychủ,mãnguồnmở.NórấtthíchhợpvớiwebvàcóthểdễdàngnhúngvàotrangHTML. CGI CommonGatewayInterface Mộtphươngphápchophépgiaotiếpgiữaservervàchươngtrìnhnhờcácđịnhdạngđặctảthôngtin JSP JavaServerPages Côngnghệchophépthựchiệndễdàngviệcviếtcáctrangwebđộng(dĩnhiêntacũngcóthểviếtcáctrangwebtĩnhvớiJSP).Cụthể,mộttrangJSPlàmộttrangHTML (hayXML)trongđócótrộnlẫncác mãJava,tứccác thành phần JSP, cho phép thực hiện nội dung động. HTML HyperText Markup Language Ngôn ngữ đánh dấu siêu văn bản Một ngôn ngữ đánh dấu được thiết kế ra để tạo nên các trang web với các mẩu thông tin được trình bày trên World Wide Web API Application Programming Interface Giao diện lập trình ứng dụng là một giao tiếp phần mềm chẳng hạn như giữa chương trình và hệ điều hành CSRF Crosssite Request Forgery Kỹ thuật tấn công bằng cách sử dụng quyền chứng thực của người dùng đối với một website LỜI NÓI ĐẦU Trong những năm gần đây, sự phát triển nhanh của hệ thống mạng Internet hiện nay, thời gan đã cho thấy rằng các ứng dụng web đã trở nên phức tạp hơn để cung cấp các chức năng mới với các tính năng sử dụng nhiều hơn hoặc chỉ đơn giản tạo ra sự bắt mắt cho người sử dụng. Nhưng mức độ phức tạp hơn không phản ánh rằng khả năng bảo mật sẽ tốt hơn. Luôn có những cuộc tấn công mới có thể bị bỏ qua bởi các cơ chế bảo vệ hiện có. Vì vậy, các kỹ sư phần mềm phải chú ý để phát triển các ứng dụng web an toàn. Thủ thuật clickjacking, tức nội dung trong đường link người dùng bấm vào đã bị thay đổi mà họ không hay biết, được giới bảo mật đánh giá là một trong những nguy cơ nghiêm trọng mới trên Internet. Phương pháp clickjacking được thực hiện nhờ một khung nội tuyến (iframe) cho phép cửa sổ trình duyệt chia thành nhiều phần để các nội dung khác nhau có thể hiển thị trên từng phần đó. Khi khách truy cập bấm chuột vào mục chứa khung nội tuyến độc, cuộc khai thác sẽ diễn ra đúng theo kế hoạch của kẻ tấn công. Kiểu tấn công mới này xảy ra trên hầu hết các trình duyệt từ Internet Explorer, Firefox, Opera, Safari cho đến bản gần đây nhất Google Chrome. Microsoft và Mozilla cùng thừa nhận không dễ có giải pháp khắc phục cho vấn đề nghiêm trọng này. Với đềtài“TìmhiểuClickjackingvàphươngphápphòngchốngClickjacking”, chúngemxintrìnhbày rõhơnvềbảnchất,phươngthứchoạtđộngvàđưaracácgiảiphápphòngngừa,ngănchặnloạihìnhtấncôngmớinày. CHƯƠNG I: TỔNG QUAN TẤN CÔNG CLICKJACKING 1.1. Vài nét về tấn công Clickjacking Năm 2008 Robert Hansen và Jeremiah Grossman khám phá ra hàng loạt lỗi mới trong cơ sở hạ tầng internet nhu trình duyệt, website và những plugin phổ biến dẫn tới hàng tá nguy cơ bảo mật ảnh hưởng dến mọi người dùng web, một thuật ngữ bảo mật mới ra đời: Clickjacking. Robert Hansen (nhà sáng lập và điều hành hãng SecTheory) và Jeremiah Grossman (giám đốc công nghệ tại hội nghị Whitehat Security) đặc biệt nhấn mạnh những khám phá của mình về mức độ nguy hiểm đối từ clickjacking, thuật ngữ ám chỉ một nguy cơ bảo mật thật sự đe dọa ngành công nghiệp bảo mật hiện nay. Nó diễn ra qua việc lừa đảo mọi người click vào một liên kết với vẻ ngoài “trong sạch” trong một trình duyệt, ví dụ như một nút nhấn để lưu 1 bài báo online đang đọc vào mạng xã hội lưu trữ Digg chứ không chỉ đơn thuần là nhấn vào các liên kết lừa đảo như trước đây tin tặc hay sử dụng. Cách thức đã thay đổi và cả Hansen cùng Grossman đều cho rằng hầu hết các trình duyệt đều không đương đầu được với clickjacking. Một cuộc tấn công clickjacking có thể dựa trên một thiết kế cơ bản trong HTML cho phép các website nhúng nội dung từ các trang web khác. Nội dung nhúng có thể được ẩn và người dùng web hoàn toàn không biết đang tương tác với nó. Một dạng thức khác của clickjacking lại nhằm vào những plugin phổ biến hiện nay là Adobe Flash Player hay Microsoft Silverlight. Thực chất, clickjacking đã xuất hiện từ một vài năm trước nhưng từ sau những khám phá mới của Hansen và Grossman thì clickjacking mới lộ rõ khả năng thực sự của mình. “Có nhiều dạng clickjacking” Hansen bày tỏ sự lo âu của mình về mối nguy cơ của clickjacking khá đa dạng. “Một vài loại yêu cầu quyền truy cập crossdomain, một số khác lại không. Một vài loại bao phủ toàn bộ các trang bên trên 1 trang, một vài tin tặc sẽ dùng iframe để đưa bạn click vào một điểm. Một số khác yêu cầu JavaScript và một số lại không”. Hansen đã lên 1 danh sách 12 trường hợp có thể khai thác clickjacking trong trình duyệt, plugin và website. Tuy nhiên, đây không phải là tất cả.

[...]... khi người dùng click chuột vào một vị trí bất kỳ sẽ tự động like fanpage mà kẻ tấn công dựng sẵn Hình : Web giả mạo chứa javascript Bước 2: Kẻ tấn công chia sẻ một link giả mạo với ảnh giả mạo, link giả mạo HVKTMM- Tìm hiểu Clickjacking và cách phòng chống Page 31 32 Hình : Link giả mạo Bước 3: Chờ nạn nhân click vào và like một fanpage mà họ không hề hay biết 3.1 Cách phòngchống 3.1.1 TắtJavaScripttrêntrìnhduyệtweb... mộttrangtấncôngcóthểhiểnthịmộtcontrỏgiảđểchuyểnsựchúýcủngườidùngtừcontr ỏthựcvàkhiếnchongườisửdụnghànhđộngrakhỏibốicảnhbởichưanhìnvàođíchđếnc ủahànhđộng.Đểhạnchếđiềunày,cầnđảmbảorằngngườidùngnhìnthấyhệthốngcung cấpcontr và chúý đến đúng nơitrướckhitươngtácvớimộtyếutốnhạy cảm 2.3.2 HVKTMM- Tìm hiểu Clickjacking và cách phòng chống Page 26 27 Đốivớithiếtkế,xemxétcáckỹthuậtsauđây,riêngbiệtvàcáckếthợpkhácnhau,đ hiểu ượcsựđánhđổigiữahiệuquảcủaviệcngừngcáccuộctấncônggiảmạocontrỏvàxâm... HVKTMM- Tìm hiểu Clickjacking và cách phòng chống Page 29 30 ôngđòihỏiphảiđiềuchỉnhkịchbản,vàkhôngcầnphảiđốiphóvớicuộctấncôngvôhiệu hoá kịchbảntrêncácyếutố nhạycảm.Lưu ý rằng, chứcnăngsosánhbitmapkhôngnênsửdụngtrựctiếptrongJavaScriptvàchỉcóthể đượckíchhoạtbởihànhđộngthựchiệnbởingườidùng.Nếukhông,kẻtấncôngcóthểlạ mdụngviệcđóđểthămdòđiểmảnhtrênnguồngốcmộtkhungtrongsuốtđược sửdụng HVKTMM- Tìm hiểu Clickjacking. .. chuột nếu trình duyệt phát hiện các khung nguồn gốc khi nhấp chuột vào không phải hoàn toàn có thể thấy được Adobe đã thêm bảo vệ truy cập vào webcam FlashPlayer để đối phó với các HVKTMM- Tìm hiểu Clickjacking và cách phòng chống Page 23 24 cuộc tấn công Clickjacking vào webcam Tuy nhiên, biện pháp này chỉ bảo vệ được hộp thoại webcam và không sẵn sàng cho nội dung khác của trang web Module ClearClick... Disable(Tắt) -OK • HVKTMM- Tìm hiểu Clickjacking và cách phòng chống Page 34 35 Hình : TắtJavaScriptởtrìnhduyệtIE TrênAppleSafari(7.0) -Mở trìnhđơnSafaritrênthanhcông cụcủatrìnhduyệt -ChọnPreferences(Tùychọn) -ChọnSecurity(Bảomật) -ĐểbậtJavaScriptchọnhộpđánhdấubêncạnhEnableJavaScript(BậtJavaScript) -Để tắtJavascriptchọntùychọnngượclại -OK • HVKTMM- Tìm hiểu Clickjacking và cách phòng chống Page 35 36 3.2.2 VôhiệuhoáFrame... http://tinyurl.com/amgzs6">10 HVKTMM- Tìm hiểu Clickjacking và cách phòng chống Page 20 21 Như trong tấn công Clickjacking cơ bản, vị trí của các khung nội tuyến trong suốt có thể được thiết lập với mã CSS Khi nạn nhân nhấp chuột vào nút “Don’t Click” sẽ tự động nhấp chuột vào nút hình thức của trang twitter.com nạp bởi nội khung nội tuyến Sau một cú nhấp chuột của nạn nhân, thông báo đó sẽ được đăng một cách tự động lên... Clickjackng ảnh hưởng đến toàn vẹn thời gian cho các cửa sổ popup HVKTMM- Tìm hiểu Clickjacking và cách phòng chống Page 21 22 Kịch bản là tạo ra một trang mồi nhử và chuyển đổi vào tấn công doubleđối với hộp thoại cho các tài khoản Google được bảo vệ bởi cài đặt X-frame Đầu tiên, người dùng được dụ đến một trang và thực hiện kích chuột vào một nút mồi nhử Sau khi thực hiện nhấp chuột, trang mồi nhử sẽ chuyển... hình hiển thị của cả hai yếu tố giao diện người dùng nhạy cảm và thông tin phản hồi của con trỏ hoàn toàn có thể nhìn thấy cho người dùng Chỉ khi cả hiển thị mục tiêu toàn vẹn và toàn vẹn con trỏ được thảo mãn, hệ thống sẽ kích hoạt các yếu tố giao diện người dùng nhạy cảm và cung cấp đầu vào cho họ HVKTMM- Tìm hiểu Clickjacking và cách phòng chống Page 22 23 Xác nhận người dùng: Một biện pháp giảm nhẹ... người dùng kích chuột vào nút Tweet trên Twitter hoặc nút Like trên Facebook, sau đó tạo ra một liên kết đến trang web của kẻ tấn công và được gửi cho bạn bè người dùng, do đó được truyền rộng rãi trên mạng Hình : Kẻ tấn công chèn nút Like ẩn Tấn công Clickjacking đã tăng truy cập vào trang của kẻ tấn công mà nạn nhân không hề hay biết HVKTMM- Tìm hiểu Clickjacking và cách phòng chống Page 12 13 CHƯƠNG... nhữnggìmàngườidùngthấytạivị HVKTMM- Tìm hiểu Clickjacking và cách phòng chống Page 25 26 trícủacácnútgiốngnhưtrênmànhìnhhiểnthịbằngcáchlấymộtảnhchụpmànhìnhcủac ửasổtrìnhduyệtvàchianhỏcácyếutốnhạycảmtừcácảnhchụpmànhìnhdựatrênvịtrícủ aphầntửđóvàkíchthướcđượchiểnthịtrêntrìnhduyệt.Cáctrìnhduyệtsauđósẽxácđịnh cácyếutốnhạycảmđósẽphảnhồilạinhưthếnàotrongsựtáchbiệtgiữanhauvà sửdụngđiềunàynhưmộtthamchiếucủabitmap.Đểkếtthúcđiềunày,trìnhduyệtrútran . kiểu tấn công Clickjacking Clickjacking la một kĩ thuật tương đối mới, và thực tế các nguy cơ bị Clickjacking là khá đa dạng. Trong tương lai sẽ xuất hiện nhiều biến thể của Clickjacking được. bằng Clickjacking, tuy nhiên nếu người dùng chưa update thì vẫn có thể bị tấn công. Ngoài ra, các phần mềm khác như activeX hay MS SilverLight… vẫn còn tiềm ẩn những nguy cơ bị tấn công Clickjacking. Robert. đềtài“TìmhiểuClickjackingvàphươngphápphòngchốngClickjacking”, chúngemxintrìnhbày rõhơnvềbảnchất,phươngthứchoạtđộngvàđưaracácgiảiphápphòngngừa,ngănchặnl oạihìnhtấncôngmớinày. HVKTMM- Tìm hiểu Clickjacking

Ngày đăng: 26/09/2014, 15:53

Xem thêm