Bảo mật an ninh mạng clickjacking

Clic kjac king là gì ?• Clickjacking còn được gọi là "UI redress attack" là một thuật ngữ diễn tả việc lừa người sử dụng click chuột vào một liên kết nhìn bề ngoài có vẻ "trong sạch" tro

BẢO MẬT VÀ AN NINH MẠNG

Sinh v iê n thự c hiệ n :

Nguyễn Ngọc Sơn – K38.104.173

Trần Thế Phi – K38.104.161 Nguyễn Thị Loan – K38.104.131 Trần Mạnh Thành Hiếu – K38.104.105

Ngô Kim Châu – K38.104.084 Phạm Thị Thu Thủy – K38.104.189

Huỳnh Văn Sáu – K38.104.052 Đoàn Công Huân – K38.104.110NETWORK SECURITY – Clickjacking

1

Nội dung:

• Clickjacking là gì ?

• Thực trạng Clickjacking.

• Clickjacking và Wordpress.

• Làm sao để bảo vệ ứng dụng web khỏi Clickjacking ?

NETWORK SECURITY – Clickjacking

2

I Clic kjac king là gì ?

• Clickjacking (còn được gọi là "UI redress attack") là một thuật ngữ diễn tả việc lừa người sử dụng click chuột vào một liên kết nhìn bề ngoài có vẻ "trong sạch" trong các trang web, tuy nhiên qua cú click chuột đó hacker có thể lấy được các thông tin bí mật của người sử dụng hay

kiểm soát máy tính của họ.

NETWORK SECURITY – Clickjacking

3

Lừa người sử dụng trên một website

Lừa họ click chuột vào

Khai thác thành công

A MÔ TẢ CÁCH THỨC HOẠT ĐỘNG CỦA CLICKJACKING

NETWORK SECURITY – Clickjacking

4

NETWORK SECURITY – Clickjacking

5

B VÀI TÍNH CHẤT CỦA HTML LIÊN QUAN

B VÀI TÍNH CHẤT CỦA HTML LIÊN QUAN

B VÀI TÍNH CHẤT CỦA HTML LIÊN QUAN

• Stacking Order ( xếp theo thứ tự )

– Các phần tử của HTML có thể xếp chồng lên nhau.

NETWORK SECURITY – Clickjacking

8

B VÀI TÍNH CHẤT CỦA HTML LIÊN QUAN

• Stacking + Opacity ( vừa xếp chồng lên nhau, vừa làm

mờ và trở nên trong suốt )

– Một phần tử có thể được đưa lên đầu trang và trở nên vô hình.

NETWORK SECURITY – Clickjacking

9

C VÍ DỤ ĐƠ N GIẢN VỀ CODE

<div style="z-index:10; opacity:0; position:absolute; top:0px; ">

<iframe scrolling="no" style="width:800px; height:500px;

"src="http://www.bing.com/search?q=symantec"> </iframe> </div>

<div style="position:absolute; top:200px; left:210px;">

<a href="#">Claim your prize</a>

</div>

</html>

Ẩn iframe lên trên

“Clame your prize” đã được ẩn dấu với quảng

cáo NETWORK SECURITY – Clickjacking

10

II Thự c trạng Clic kjac king

• Twitter

– Khai thác : Buộc người dùng Twitter gửi tin nhắn

• Facebook

– Khai thác : Buộc người dùng nhấn nút Like

• Advertising and Affiliate Networks (các liên kết quảng cáo)

– Khai thác : Buộc người dùng phải click vào quảng cáo để kiếm tiền cho các dịch vụ quảng cáo

Lừa người dùng facebook đến một trang web

Khiến họ Click vào

Khai thác

Bạn bè của họ vào facebook của họ và nhấn vào liên kết

A TÌM HIỂU VỀ THỦ ĐOẠN LỪA CLICKJACKING TRÊN FACEBOOK

NETWORK SECURITY – Clickjacking

12

• không dùng tùy chọn X-Frame trong http

• không xem trọng khi cấu trúc frame bị đổ vỡ

Không có sự

bảo vệ

• Các URL gửi đến nạn nhân phải được xác định trước

• Không yêu cầu xác thực CSRF ( Cross site request forgery) và xác thực session token (xác thực thẻ bài )

Dự đoán liên kết

(URL)

• Mọi thao tác đều hỗ trợ cho hacker

• Cú nhấp chuột khiến việc tiếp cận mục tiêu dễ dàng hơn

• cú click chuột đơn đơn giản hơn là nhiều cú click chuột và kéo thả

Single Click (click chuột đơn)

Các ứ ng dụng w e b đề u dễ bị Clic kjacking ?

Xem xét 3 điều kiện :

NETWORK SECURITY – Clickjacking

13

III Clic kjac king và Wordpre s s

• WordPress là một mã nguồn web mở để quản trị nội dung (CMS – Content Management System) và cũng là một nền tảng blog (Blog Platform) được viết trên ngôn ngữ PHP sử dụng hệ quản trị

cơ sở dữ liệu MySQL được phát hành đầu tiên vào ngày 27/5/2003 bởi Matt Mullenweg và Mike Little.

• Wordpress gần đây đã fix được lỗi tấn công Clickjacking, thế nhưng thật sự thì không có một mối đe dọa cụ thể nào với Wordpress.

NETWORK SECURITY – Clickjacking

14

Lừa người quản trị đến một trang web

B MÔ TẢ CODE CLICKJACKING

16

B MÔ TẢ CODE CLICKJACKING

WORDPRESS

# outerdiv { width:100px; height:30px; overflow:hidden; position:absolute; top:113px; left:335px; z-index:10; opacity:0; }

# inneriframe { position:absolute; top:-40px; left:-10px; width:200px;

height:100px; border: none;}

<div id=" outerdiv ">

<iframe id=" inneriframe " scrolling="no" src=" admin/plugin-install.php ">

http://wordpress/wp-</iframe>

</div>

NETWORK SECURITY – Clickjacking

17

NETWORK SECURITY – Clickjacking

18

• Sự tinh vi của Clickjacking chưa dừng lại ở việc tải Plugin hay

tự cài đặt phần mềm vào máy người dùng Chúng có thể gắn Trojan, virus hay Malware, Spyware vào máy của nạn nhân và thực hiện mục đích nào đó Frame nội bộ sẽ chạy Plugin được đặt tên _parent.

NETWORK SECURITY – Clickjacking

19

NETWORK SECURITY – Clickjacking

20

<iframe id="innerframe" class="innerframe" scrolling= "no" src=" data:text/html;charset=utf-8,

<iframe name='_parent' scrolling='no' src='http://wordpress/wp- admin/plugin-install.php '></iframe>" ></iframe>

-snip -Lừa người quản trị đến một

MINH HỌA QUÁ TRÌNH

NETWORK SECURITY – Clickjacking

21

Khai thác nhữ ng lỗ hổ ng trở nê n dễ dàng hơ n.

• Giao diện Wordpress yếu ớt trước việc chống lại Cross Site Scripting (XSS).

• Bây giờ chỉ cần 1 cú click chuột thôi là đủ.

 Sử dụng cách tấn công Cross Site Scripting (XSS) sẽ vô cùng hiệu quả.

 Chỉ cần gắn J avaScript vào một trang.

 Có thể thêm người quản trị hoặc upload lên những lỗ hổng

NETWORK SECURITY – Clickjacking

22

 http://wordpress/wp-content/plugins/slidepress/tools/preview.php?sspWidth=1

&sspHeight=</script><script>alert(document.cookie)</script>&sspGalleryId=1

MINH HỌA QUÁ TRÌNH

NETWORK SECURITY – Clickjacking

23

Lừa người quản trị đến

một trang web

Họ Click chuột v ào

C ài đặt những Plugin khai

th ác lỗ hổng

Khai th ác lỗ hổng

IV BẢO VỆ ỨNG DỤNG WEB

TRƯỚ C CLICKJACKING

• Client s ide protection ( bảo vệ trên máy khách )

– Không cho Script plugin trên trình duyệt

– Đã được sử dụng từ năm 2009

• Server s ide protection ( bảo vệ trên s erver )

– Frame busting/ Frame killing– Frame busting nằm trong top 500 trang web có thể phòng thủ

– Busting Frame busting : một trang học phổ biến về những điểm yếu trước Clickjacking được sáng lập bởi Gustav Rydstedt, Elie Bursztein, Dan Boneh và Collin J ackson từ tháng 7 năm 2010

• X-Frame-Option header (2009) Tùy chọn cài đặt X-Frame

– Internet Explorer, Safari, Firefox, Chrome

NETWORK SECURITY – Clickjacking

24

CÀI ĐẶT TÙY CHỈNH X-FRAME KHÔNG KHÓ!

• Ngăn chặn bất kì site nào xâm phạm cấu trúc trang

NETWORK SECURITY – Clickjacking

25

VÍ DỤ VỀ BẢO VỆ TRƯỚ C CLICKJACKING

• Wordpress.org sử dụng policy SAMEORIGIN

~$ curl -i www.wordpress.org/wp-login.phpHTTP/1.1 200 OK

Server: nginxDate: Wed, 07 Sep 2011 03:09:38 GMTContent-Type: text/html; charset=UTF-8Connection: close

Vary: Accept-EncodingExpires: Wed, 11 Jan 1984 05:00:00 GMTLast-Modified: Wed, 07 Sep 2011 03:09:38 GMTCache-Control: no-cache, must-revalidate, max-age=0Pragma: no-cache

Set-Cookie: wordpress_test_cookie=WP+Cookie+check; path=/;

domain=.wordpress.orgX-Frame-Options: SAMEORIGINContent-Length: 2265

NETWORK SECURITY – Clickjacking

26

TỔNG KẾT

• The good news – Tin vui :

– Clickjacking rất dễ ngăn chặn.

• The bad news – Tin buồn :

– Ngày nay, các lỗ hổng bảo mật càng trở nên phổ biến – Còn rất nhiều ứng dụng web khác là miếng mồi của clickjacking, không chỉ có WordPress.

NETWORK SECURITY – Clickjacking

28

Chân thành c m n s theo dõi ả ơ ự

Nguyễn Ngọc Sơn – K38.104.173

Trần Thế Phi – K38.104.161 Nguyễn Thị Loan – K38.104.131 Trần Mạnh Thành Hiếu – K38.104.105

Ngô Kim Châu – K38.104.084 Phạm Thị Thu Thủy – K38.104.189 Huỳnh Văn Sáu – K38.104.052 Đoàn Công Huân – K38.104.110

NETWORK SECURITY – Clickjacking

29