Clickjacking: differenze tra le versioni

Naviga nella cronologia in modo interattivo

← Differenza precedente

Contenuto cancellato Contenuto aggiunto

VisualeWikitesto

Versione delle 14:28, 5 feb 2009 modifica Azrael555 (discussione \| contributi) Utenti autoverificati 22 770 modifiche Nessun oggetto della modifica ← Differenza precedente		Versione attuale delle 19:26, 13 dic 2024 modifica annulla 151.70.131.224 (discussione) →Funzionamento Etichetta: Modifica visuale
(46 versioni intermedie di 38 utenti non mostrate)
Riga 1: Il '''clickjacking''' ("~~furto~~rapimento del ~~click~~[[Mouse#Clic\|clic]]") è una tecnica informatica fraudolenta. Durante una normale navigazione [[web]], l'utente clicca con il puntatore del [[mouse]] su di un oggetto (ad esempio un [[Collegamento ipertestuale\|link]]), ma in realtà il suo ~~click~~clic viene reindirizzato, a sua insaputa, su di un altro oggetto., ~~Tipicamente~~che lapuò ~~vulnerabilità~~portare ~~sfrutta~~alle ~~[[JavaScript]]~~più osvariate conseguenze: dal semplice invio di spam, al download di un file, fino all'ordinare prodotti da siti di [[~~Iframe~~e-commerce]]. Oltre al rapimento del clic, possono essere intercettati i tasti premuti, ad esempio quando si inserisce la [[password]] dell'email o del conto bancario. Entrambe queste possibilità (rapimento del clic o dei tasti premuti sulla tastiera) vengono eseguite senza la cognizione dell'utente. ~~La tecnica è stata rilevata per la prima volta nel dicembre [[2008]] da Robert Hansen e Jeremiah Grossman.~~ ==Funzionamento== Esistono due tecniche per fare il clickjacking: Su [[Javascript]], il click su un elemento di una pagina [[HTML]] viene gestito dalla funzione ''event handler'': è sufficiente programmare tale funzione con parametri differenti (ossia un click su un elemento differente da quello realmente cliccato) ed è così possibile i reindirizzamento del clik. La prima è possibile a causa di una caratteristica, apparentemente innocua, di [[HTML]], con cui le [[Pagina web\|pagine web]] possono essere usate per compiere azioni non previste. Si basa su [[JavaScript]], infatti nel momento del clic dell'utente c'è un gestore dell'evento che fa eseguire una determinata azione, agli attaccanti basta passare come parametri quello che gli serve. ~~Altra tecnica, più pericolosa, è quella di inserire un [[Iframe]] nella pagina HTML, in maniera tale da "catturare" il click attraverso il [[frame]] nascosto.~~ Esiste però anche un'altra tecnica, chiamata [[Iframe\|IFrame]] (Inner Frame), che consiste nel creare una pagina trasparente ed appoggiarla sopra alla pagina reale. In questo modo l'utente crede di consultare una normale pagina con i suoi relativi bottoni, mentre in realtà sta navigando sulla pagina invisibile. == Voci correlate ==▼ * [[Hijacking]]▼ Un utente cade nella trappola del clickjacking solitamente cliccando su un link. L'utente non è in grado di riconoscere la differenza tra una pagina sana e una pagina ingannevole, perciò può cadere nella trappola senza cognizione delle proprie azioni. Infatti combinando insieme [[CSS\|fogli di stile]], pagine trasparenti e box di testo, gli utenti possono essere indotti a credere di inserire informazioni in una normale form compilativa (ad esempio password), quando invece vengono intercettate dagli attaccanti. ~~==Fonti==~~ Alessandro Bottoni ''[http://punto-informatico.it/2419482/PI/Commenti/clickjacking-tutti-browser-vulnerabili.aspx Clickjacking, tutti i browser vulnerabili]'', Punto-Informatico.it, 29-09-2008 <small>(consultato in data 05-02-2008)</small>▼ == ~~Collegamenti esterni~~Esempi == Le applicazioni di questa tecnica sono le più varie, possono essere "innocue" oppure anche più pericolose per l'utente che ci casca; quelle per ora conosciute sono le seguenti: {{en}} Robert Hansen e Jeremiah Grossman, ''[http://www.sectheory.com/clickjacking.htm Clickjacking]'', sectheory.com, 09-12-2008 <small>(consultato in data 05-02-2008)</small> Portare l'utente ad acquistare un prodotto su [[Amazon.com\|Amazon]]; per questo utilizzo però l'attaccante ha un solo clic a disposizione, quindi confida che l'utente sia già loggato e che abbia attivato lo 1-clic ordering (la possibilità di ordinare con un clic) * Attivare microfono e [[webcam]] dell'utente tramite [[Adobe Flash]] (questa situazione dovrebbe essere stata fixata) * Scaricare e far partire dei [[malware]] sul computer dell'utente * Far seguire all'utente qualcuno su [[Twitter]] * Condividere link su [[Facebook]] * Mettere "mi piace" su Facebook a pagine o link (questa tecnica è stata chiamata LikeJacking) * Dirigere l'utente su siti che forniscano pubblicità e quindi guadagno all'attaccante * Far partire video su [[YouTube]] per guadagnare views == Prevenzione == ~~{{portale\|sicurezza informatica}}~~ Ci sono delle soluzioni per cercare di limitare questa problematica, possono essere sia [[client]] che server side, ovvero rispettivamente da realizzare dall'utente sul proprio browser che dal proprietario del sito. === Client-Side === Queste sono le soluzioni che può adottare l'utente: ==== NoScript ==== La protezione contro il clickjacking può essere ottenuta, con un buon grado di sicurezza (secondo quanto riportato ne "Browser Security Handbook" del 2008), installando su [[Mozilla Firefox]] [[NoScript]]. È un prodotto di ClearClick, pubblicato il 8 Ottobre 2008, che aiuta gli utenti prevenendo il clic su eventuali pagine trasparenti. ==== GuardedID ==== Questo prodotto include la protezione contro il clickjacking su [[Internet Explorer]] e Firefox, forzando le pagine trasparenti a diventare visibili. In questo modo l'utente può avere la visione completa della pagina ed evitare di premere su bottoni errati. ==== Gazzelle ==== Gazzelle è un prodotto di Microsoft Research per IE, che usa una tecnica simile al modello di sicurezza usato per i sistemi operativi. Una pagina con un'origine diversa da quella corretta può figurare i propri contenuti dinamici soltanto se questi sono opachi. === Server-Side === Queste sono le soluzioni che può adottare il proprietario del sito: ==== Framekiller ==== I proprietari del sito possono inserire un framekiller JavaScript nelle pagine in cui non vogliono che vengano inserite pagine da fonti estranee. Essendo una protezione basata su JavaScript non è sempre affidabile. Ad esempio su Internet Explorer questa soluzione può essere aggirata inserendo la pagina-bersaglio all'interno di elemento del tipo:<syntaxhighlight lang="html"> <IFRAME SECURITY=restricted> </syntaxhighlight> ==== X-Frame-Options ==== Questo è un frame introdotto nel 2009 in Internet Explorer. Agisce inserendo nell'[[header]] HTTP X-Frame-Options, che offre una parziale protezione contro il clickjacking, in seguito questa soluzione fu adottata anche dagli altri browser. L'header stabilisce le impostazioni per i frame, fissando quali sono le fonti dalle quali possono arrivare eventuali pagine esterne. In questo modo si evita che il sito venga attaccato con l'inserimento di frame dalle origini non consentite dall'header. Questa soluzione, X-Frame-Options, nel 2013 è stata pubblicata ufficialmente come RFC 7034, senza però diventare uno standard. ==== Content Security Policy ==== Questa soluzione rende obsoleta X-Frame-Options ed è preferita dai browser. Sfrutta la direttiva frame-ancestor del 'Content Security Policy' con la quale si può abilitare o disabilitare codice embedded da determinate pagine ostili. == Bibliografia == ▲* Alessandro Bottoni, ''[http://punto-informatico.it/2419482/PI/Commenti/clickjacking-tutti-browser-vulnerabili.aspx Clickjacking, tutti i browser vulnerabili]'', Punto-Informatico.it, 29-09-2008 <small>(consultato in data 0528-0210-~~2008~~2017)</small> * (EN) OWASP, [[owasp:Clickjacking\|Clickjacking]], owasp.org, 25-02-2017 <small>(consultato in data 28-10-2017)</small> * (EN) Margaret Rouse, [http://whatis.techtarget.com/definition/clickjacking-user-interface-or-UI-redressing-and-IFRAME-overlay Clickjacking], whatis.techtarget.com, September 2015 <small>(consultato in data 30-10-2017)</small> * (EN) Caleb Queern, [https://www.lookingglasscyber.com/blog/threat-intelligence-insights/x-frame-options-clickjacking/ What Is Clickjacking and How Can You Prevent It?], lookingglasscyber.com <small>(consultato in data 30-10-2017)</small> * hackerstribe.com, [https://hackerstribe.com/2011/attacco-clickjacking-cosa-devi-sapere/ Attacco ClickJacking: Cosa devi sapere], hackerstribe.com, 3-12-2011 <small>(consultato in data 30-10-2017)</small> ▲== Voci correlate == ▲* [[Hijacking\|HiJacking]] {{Portale\|Sicurezza informatica\|Telematica}} [[Categoria:Cultura di Internet]] [[Categoria:Tecniche di attacco informatico]] [[Categoria:Terminologia informatica]] [[Categoria:~~Prevenzione~~Tecniche di difesa informatica]] ~~[[de:Clickjacking]]~~ ~~[[en:Clickjacking]]~~ ~~[[fr:Clickjacking]]~~ ~~[[ja:クリックジャッキング]]~~