Clickjacking: differenze tra le versioni

Naviga nella cronologia in modo interattivo

← Differenza precedente

Contenuto cancellato Contenuto aggiunto

VisualeWikitesto

Versione delle 16:22, 4 apr 2023 modifica Ottaluc (discussione \| contributi) 314 modifiche Funzionalità collegamenti suggeriti: 3 collegamenti inseriti. Etichette: Modifica visuale Attività per i nuovi utenti Suggerito: aggiungi collegamenti ← Differenza precedente		Versione attuale delle 19:26, 13 dic 2024 modifica annulla 151.70.131.224 (discussione) →Funzionamento Etichetta: Modifica visuale
(6 versioni intermedie di 4 utenti non mostrate)
Riga 8: La prima è possibile a causa di una caratteristica, apparentemente innocua, di [[HTML]], con cui le [[Pagina web\|pagine web]] possono essere usate per compiere azioni non previste. Si basa su [[JavaScript]], infatti nel momento del clic dell'utente c'è un gestore dell'evento che fa eseguire una determinata azione, agli attaccanti basta passare come parametri quello che gli serve. Esiste però anche un'altra tecnica, chiamata [[Iframe\|IFrame]] (Inner Frame), che consiste nel creare una pagina trasparente ed ~~appogiarla~~appoggiarla sopra alla pagina reale. In questo modo l'utente crede di consultare una normale pagina con i suoi relativi bottoni, mentre in realtà sta navigando sulla pagina invisibile. Un utente cade nella trappola del clickjacking solitamente cliccando su un link. L'utente non è in grado di riconoscere la differenza tra una pagina sana e una pagina ingannevole, perciò può cadere nella trappola senza cognizione delle proprie azioni. Infatti combinando insieme [[CSS\|fogli di stile]], pagine trasparenti e box di testo, gli utenti possono essere indotti a credere di inserire informazioni in una normale form compilativa (ad esempio password), quando invece vengono intercettate dagli attaccanti. Riga 24: == Prevenzione == Ci sono delle soluzioni per cercare di limitare questa problematica, possono essere sia [[client]] che server side, ovvero rispettivamente da realizzare dall'utente sul proprio browser che dal proprietario del sito. === Client-Side === Riga 58: Questa soluzione rende obsoleta X-Frame-Options ed è preferita dai browser. Sfrutta la direttiva frame-ancestor del 'Content Security Policy' con la quale si può abilitare o disabilitare codice embedded da determinate pagine ostili. == ~~Voci correlate~~Bibliografia == * [[Hijacking\|HiJacking]]▼ ~~==Fonti==~~ * Alessandro Bottoni, ''[http://punto-informatico.it/2419482/PI/Commenti/clickjacking-tutti-browser-vulnerabili.aspx Clickjacking, tutti i browser vulnerabili]'', Punto-Informatico.it, 29-09-2008 <small>(consultato in data 28-10-2017)</small> * (EN) OWASP, [[owasp:Clickjacking\|Clickjacking]], owasp.org, 25-02-2017 <small>(consultato in data 28-10-2017)</small> Line 68 ⟶ 65: * hackerstribe.com, [https://hackerstribe.com/2011/attacco-clickjacking-cosa-devi-sapere/ Attacco ClickJacking: Cosa devi sapere], hackerstribe.com, 3-12-2011 <small>(consultato in data 30-10-2017)</small> == Voci correlate == * ▲* [[Hijacking\|HiJacking]] {{Portale\|Sicurezza informatica\|Telematica}}