BẢO MẬT VÀ AN NINH MẠNG Phần : Clickjacking Sinh viên thực hiện : Nguyễn Ngọc Sơn – K38.104.173 Trần Thế Phi – K38.104.161 Nguyễn Thị Loan –!K38.104.131 Trần Mạnh Thành Hiếu – K38.104.105 Ngô Kim Châu – K38.104.084 Phạm Thị Thu Thủy – K38.104.189 Huỳnh Văn Sáu – K38.104.052 Đoàn Công Huân – K38.104.110 NETWORK SECURITY – Clickjacking 1 Nội dung: • Clickjacking là gì ? • Thực trạng Clickjacking. • Clickjacking và Wordpre ss. • Làm sao để bảo vệ ứng dụng web khỏi Clickjacking ? NETWORK SECURITY – Clickjacking 2 I. Clickjacking là gì ? • Clickjacking (còn được gọi là "UI redress attack") là một thuật ngữ diễn tả việc lừa người sử dụng click chuột vào một liên kết nhìn bề ngoài có vẻ "trong sạch" trong các trang web, tuy nhiên qua cú click chuột đó hacker có thể lấy được các thông tin bí mật của người sử dụng hay kiểm soát máy tính của họ. NETWORK SECURITY – Clickjacking 3 Lừa người sử dụng trên một website Lừa họ click chuột vào Khai thác thành công A. MÔ TẢ CÁCH THỨC HOẠT ĐỘNG CỦA CLICKJACKING NETWORK SECURITY – Clickjacking 4 VD: NETWORK SECURITY – Clickjacking 5 B. VÀI TÍNH CHẤT CỦA HTML LIÊN QUAN • Iframe : – Một trang web có thể chứa đựng thêm một trang web bên trong nó. Ví dụ : Google maps NETWORK SECURITY – Clickjacking 6 B. VÀI TÍNH CHẤT CỦA HTML LIÊN QUAN • Opacity ( tính làm mờ ) – Các phần của HTML có thể hòa lẫn với nhau, được làm mờ đi hoặc trở nên trong suốt. NETWORK SECURITY – Clickjacking 7 B. VÀI TÍNH CHẤT CỦA HTML LIÊN QUAN • Stacking Order ( xếp theo thứ tự ) – Các phần tử của HTML có thể xếp chồng lên nhau. NETWORK SECURITY – Clickjacking 8 B. VÀI TÍNH CHẤT CỦA HTML LIÊN QUAN • Stacking + Opacity ( vừa xếp chồng lên nhau, vừa làm mờ và trở nên trong suốt ) – Một phần tử có thể được đưa lên đầu trang và trở nên vô hình. NETWORK SECURITY – Clickjacking 9 C. VÍ DỤ ĐƠN GIẢN VỀ CODE CLICKJACKING <html> <h1 style="text-align:center">Win Big</h1> <p style="font-size: 38px;">You are the lucky millionth visitor.<br>You have won a mystery prize.</p> <div style="z-index:10; opacity:0; position:absolute; top:0px; "> <iframe scrolling="no" style="width:800px; height:500px; "src="http://www.bing.com/search?q=symantec"> </iframe> </div> <div style="position:absolute; top:200px; left:210px;"> <a href="#">Claim your prize</a> </div> </html> Ẩn iframe lên trên “Clame your prize” đã được ẩn dấu với quảng cáo NETWORK SECURITY – Clickjacking 10 [...]... Chrome CÀI ĐẶT TÙY CHỈNH X-FRAME KHÔNG KHÓ! • Cài đặt : – Chèn một HTTP header để bảo vệ trang web khỏi bị phá vỡ cấu trúc • Giá trị X-Frame : – SameOrigin • Cho phép duy nhất một trang trong tên miền nằm trong cấu trúc trang – Deny • Ngăn chặn bất kì site nào xâm phạm cấu trúc trang VÍ DỤ VỀ BẢO VỆ TRƯỚ C CLICKJACKING • Wordpress.org sử dụng policy SAMEORIGIN ~$ curl -i www.wordpress.org/wp-login.php... rve r s ide pro te c tio n ( bảo vệ trê n s e rve r ) – Frame busting/ Frame killing – Frame busting nằm trong top 500 trang web có thể phòng thủ – Busting Frame busting : một trang học phổ biến về những điểm yếu trước Clickjacking được sáng lập bởi Gustav Rydstedt, Elie Bursztein, Dan Boneh và Collin J ackson từ tháng 7 năm 2010 • X-Frame -Optio n he ade r (2009) Tùy c họ n c ài đặt X-Frame – Internet... sự thì không có một mối đe dọa cụ thể nào với Wordpress A MÔ TẢ CLICKJACKING TRÊN WORDPRES S Lừa người quản trị đến một trang web Họ Click chuột vào Khai thác B MÔ TẢ CODE CLICKJACKING WORDPRES S Div bên ngoài là 1 cửa sổ nhỏ iFrame bên trong là 1 trang web plugin B MÔ TẢ CODE CLICKJACKING WORDPRES S # outerdiv {width:100px; height:30px; o ve rflo w:hidde n; position:absolute; top:113px; left:335px;... 11 Jan 1984 05:00:00 GMT Last-Modified: Wed, 07 Sep 2011 03:09:38 GMT Cache-Control: no-cache, must-revalidate, max-age=0 Pragma: no-cache Set-Cookie: wordpress_test_cookie=WP+Cookie+check; path=/; domain=.wordpress.org X-Frame-Options: SAMEORIGIN Content-Length: 2265 • Internet Explorer – Inform the users • Firefox – Blank Frame • Chrome – Blank Frame TỔNG KẾT • The g o o d ne ws – Tin vui : – Clickjacking. .. công Cross Site Scripting (XSS) sẽ vô cùng hiệu quả  Chỉ cần gắn J avaScript vào một trang  Có thể thêm người quản trị hoặc upload lên những lỗ hổng MINH HỌA QUÁ TRÌNH Lừa người quản trị đến một trang web Họ Click chuột vào Cài đặt những Plugin khai thác lỗ hổng Khai thác lỗ hổng IV BẢO VỆ ỨNG DỤNG WEB TRƯỚ C CLICKJACKING • Clie nt s ide pro te c tio n ( bảo vệ trê n máy khác h ) – Không cho Script... trị nội dung (CMS – Content Management System) và cũng là một nền tảng blog (Blog Platform) được viết trên ngôn ngữ PHP sử dụng hệ quản trị cơ sở dữ liệu MySQL được phát hành đầu tiên vào ngày 27/5/2003 bởi Matt Mullenweg và Mike Little • Wordpress gần đây đã fix được lỗi tấn công Clickjacking, thế nhưng thật sự thì không có một mối đe dọa cụ thể nào với Wordpress A MÔ TẢ CLICKJACKING TRÊN WORDPRES... Advertising and Affiliate Networks (các liên kết quảng cáo) – Khai thác : Buộc người dùng phải click vào quảng cáo để kiếm tiền cho các dịch vụ quảng cáo • Adobe Flash – Khai thác : Điều chỉnh các cài đặt bảo mật để tự bật và kiểm soát camera, microphone của người dùng Tuy nhiên điều này chỉ tác dụng trên phiên bản adobe flash 9 và trở về trước, từ phiên bản 10 A TÌM HIỂU VỀ THỦ ĐOẠN LỪA CLICKJACKING. .. div "outerdiv"> < iframe id= "inneriframe" scrolling= "no" src= "http://wordpress/wpadmin/plugin-install.php "> < /iframe> < /div> • Sự tinh vi của Clickjacking chưa dừng lại ở việc tải Plugin hay tự cài đặt phần mềm vào máy người dùng Chúng có thể gắn Trojan, virus hay Malware, Spyware vào máy của nạn nhân và thực hiện mục đích nào đó Frame nội bộ sẽ chạy Plugin được đặt tên _parent  MINH HỌA QUÁ TRÌNH Lừa người quản trị đến một trang web Họ Click chuột vào Khai thác • Bằng cách nào ??? Khai thác với những mục tiêu lớn hơn Khai thác nhữ ng lỗ hổ ng trở nê n dễ dàng hơ n • Giao diện Wordpress yếu ớt trước việc chống lại Cross Site . SECURITY – Clickjacking 1 Nội dung: • Clickjacking là gì ? • Thực trạng Clickjacking. • Clickjacking và Wordpre ss. • Làm sao để bảo vệ ứng dụng web khỏi Clickjacking ? NETWORK SECURITY – Clickjacking. ĐỘNG CỦA CLICKJACKING NETWORK SECURITY – Clickjacking 4 VD: NETWORK SECURITY – Clickjacking 5 B. VÀI TÍNH CHẤT CỦA HTML LIÊN QUAN • Iframe : – Một trang web có thể chứa đựng thêm một trang web. BẢO MẬT VÀ AN NINH MẠNG Phần : Clickjacking Sinh viên thực hiện : Nguyễn Ngọc Sơn – K38.104.173 Trần Thế Phi – K38.104.161 Nguyễn Thị Loan –!K38.104.131 Trần Mạnh Thành