Pentest və SOC Cheat Sheet
  • Reconnaissance
  • Post-Explotation
    • Linux Post-Explotation
      • Linux Local Enumeration
      • Linux Privilege Escalation
      • Dumping and cracking hashes on Linux
      • Linux Persistence
    • Windows Post-Explotation
      • Windows Local Enumeration
      • Windows Privilege Escalation
      • Windows Persistence
  • Network Services Pentesting
    • 21-Pentesting FTP
    • 22-Pentesting SSH
    • 23-Pentesting Telnet
    • 53-Pentesting DNS
    • 25,465,587-Pentesting SMTP
    • 110,995-Pentesting POP
    • 139,445-Pentesting SMB
    • 3306-Pentesting MySQL
    • 3389-Pentesting RDP
    • 1433-Pentesting MSSQL-Microsoft SQL Server
    • 389,636,3268,3269-Pentesting LDAP
  • Web Pentesting
    • Broken Access Control
      • Praktiki nümunə
    • OS Command Injection
      • Praktiki nümunə
    • SQL Injection
      • Praktiki nümunə
    • Cross-Site-Scripting (XSS)
      • Praktiki nümunə
    • File Upload
      • Praktiki nümunə
    • Directory Traversal və Path Traversal
      • Praktiki nümunə
    • CSRF
    • XXE
    • Clickjacking
      • Praktiki nümunə
    • SSRF
      • Praktiki nümunə
    • JWT (Json Web Token)
      • Praktiki nümunə
    • Local&Remote File İnclusion
      • Praktiki nümunə
      • Local File inclusion ilə reverse shell almaq
    • 401&403 Bypass
    • Login Bypass
    • Open Redirect
    • Unicode Injection
    • Security Misconfiguration
    • CRLF injection
    • LDAP Injection
    • Cookies Hacking
    • Cross site WebSocket hijacking (CSWSH)
    • SSTI (Server Side Template Injection)
    • CSTI (Client Side Template Injection)
    • XSLT Server Side Injection (Extensible Stylesheet Languaje Transformations)
    • Registration & Takeover Vulnerabilities
    • Regular expression Denial of Service - ReDoS
    • Reset/Forgotten Password Bypass
    • SAML Hücumları
    • Reverse Tab Nabbing
    • Web Tool - WFuzz
    • XPATH enjeksiyonu
    • Server-Side Includes (SSI) Injection
    • Edge Side Inclusion Injection (ESII)
    • Race Condition
    • PostMessage
    • Parameter Pollution
    • Cache Poisoning and Cache Deception
    • Captcha Bypass
  • AD Pentesting
    • Domain Enumeration
      • PowerView ilə enumeration
      • AD Module ilə enumeration
      • BloodHound ilə enumeration
        • On Site BloodHound
      • Using Adalanche
        • Remote adalanche
      • Useful Enumeration Tools
    • Local Privilege Escalation
      • Useful Local Priv Esc Tools
      • UAC Bypass
    • Lateral Movement
      • Powershell Remoting
      • Mimikatz
      • Remote Desktop Protocol
      • URL File Attacks
      • Useful Tools
    • Domain Privilege Escalation
      • Kerberoast
      • ASREPRoast
      • Password Spray Attack
      • Force Set SPN
      • Abusing Shadow Copies
      • List and Decrypt Stored Credentials using Mimikatz
      • Unconstrained Delegation
      • Constrained Delegation
      • Resource Based Constrained Delegation
      • DNSAdmins Abuse
      • Abusing Active Directory-Integraded DNS (ADIDNS) poisoning
      • Abusing Backup Operators Group
      • SID History Abuse
      • Active Directory Certificate Services
    • Domain Persistence
      • Golden Ticket Attack
      • Silver Ticket Attack
      • Skeleton Key Attack
      • DSRM Abuse
      • DCsync Attack
    • Cross Forest Attacks
      • Trust Tickets
      • Abuse MSSQL Servers
      • Breaking Forest Trusts
  • SOC - Cheat Sheet
    • SOC Nədir?
    • SOC Komponentləri Nələrdir?
    • SOC Checklist
    • SIEM
      • Splunk Qurulması və Konfiqurasiyası
    • IDS/IPS
    • Firewall
    • Firewall qurulması və konfiqurasiyası
    • EDR/XDR
    • SOAR
    • Windows Commands for SOC analysts
      • GUI Programs in Windows
      • Event Viewer
      • Task Scheduler
      • Group Policy Editor
      • Device Manager
      • Task Manager
      • Registry Manager
    • Linux Commands for SOC analysts
    • LOLBAS Apps and Commands
      • Apps and Commands
Powered by GitBook
On this page
  • Formaların əvvəlcədən doldurulması hiyləsi
  • İlkin səviyyədə Clickjacking hücumunu necə qurmaq olar?
  • Çox addımlı Payload
  • Klik hücumlarının qarşısını necə almaq olar?
  • X-Frame-Options
  • Yan-keçmə (Bypass)

Was this helpful?

  1. Web Pentesting

Clickjacking

PreviousXXE NextPraktiki nümunə

Last updated 1 year ago

Was this helpful?

Clickjacking nədir?

Clickjacking, istifadəçinin saxta veb-saytdakı bəzi buttonlara klikləməklə, gizli veb-saytda işləyən məzmuna klikləmək üçün aldadıldığı interfeys əsaslı hücumdur. Aşağıdakı misalı nəzərdən keçirək:

Veb istifadəçisi fırıldaqçının veb-saytına daxil olur (bu e-poçtla verilmiş bir keçid ola bilər) və mükafat qazanmaq üçün düyməni klikləyir. Onlar bilmədən, təcavüzkar tərəfindən alternativ gizli düyməyə basaraq aldadılıblar və bu, başqa saytda hesabın ödənilməsi ilə nəticələnir. Bu, klik hücumunun bir nümunəsidir. Texnika, iframe daxilində düymə və ya gizli keçid olan görünməz, işlək veb səhifənin (və ya bir neçə səhifənin) daxil edilməsindən asılıdır. iframe istifadəçinin fırıldaq veb səhifəsi məzmununun üstünə qoyulur. Bu hücum CSRF hücumundan onunla fərqlənir ki, istifadəçidən düyməyə klik etmək kimi hərəkətlər etməyi tələb olunur, halbuki CSRF hücumu istifadəçinin məlumatı və ya daxiletməsi olmadan bütün sorğunun saxtalaşdırılması ilə yaranır.

Formaların əvvəlcədən doldurulması hiyləsi

Bəzən səhifəni yükləyərkən GET parametrlərindən istifadə edərək form sahələrini doldurmaq mümkündür. Təcavüzkar bu davranışdan sui-istifadə edərək formanı öz istədiyi lazimi məlumatlarla doldura və istifadəçinin Göndər düyməsini basması üçün Clickjacking edə bilər.

İlkin səviyyədə Clickjacking hücumunu necə qurmaq olar?

Clickjacking hücumları layerlər yaratmaq və manipulyasiya etmək üçün CSS-dən istifadə edir. Təcavüzkar hədəf veb-saytı yalançı veb-saytda üst-üstə düşən iframe layer-i kimi birləşdirir. Style tag-i və parametrlərindən istifadə nümunəsi aşağıdakı kimidir:

<style>
   iframe {
       position:relative;
       width: 500px;
       height: 700px;
       opacity: 0.1;
       z-index: 2;
   }
   div {
       position:absolute;
       top:470px;
       left:60px;
       z-index: 1;
   }
</style>
<div>Click me</div>
<iframe src="https://vulnerable.com/[email protected]"></iframe>

Hədəf veb-sayt iframe brauzerin daxilində elə yerləşdirilib ki, müvafiq genişlik və hündürlük dəyərlərindən istifadə edərək, fırıldaqçı veb-sayt ilə hədəf fəaliyyətin dəqiq üst-üstə düşməsini təmin edir. Ekran ölçüsündən, brauzer növündən və platformasından asılı olmayaraq hədəf veb-sayt ilə dəqiq üst-üstə düşməsini təmin etmək üçün mütləq və nisbi mövqe dəyərlərindən istifadə olunur. Z-indeksi iframe və veb-sayt qatlarının yığılma qaydasını müəyyən edir. İframe məzmununun istifadəçi üçün şəffaf olması üçün qeyri-şəffaflıq dəyəri 0.0 (və ya 0.0-a yaxın) kimi müəyyən edilir. Brauzer clickjacking qorunması iframe şəffaflığının aşkarlanması tətbiq edilə bilər (məsələn, Chrome versiyası 76 belə bir xüsusiyyəti var, lakin Firefoxda yoxdur). Təcavüzkar qeyri-şəffaflıq dəyərlərini seçir ki, müdafiə davranışları işə salınmadan istənilən effekti əldə edə bilsin.

Çox addımlı Payload

<style>
   iframe {
       position:relative;
       width: 500px;
       height: 500px;
       opacity: 0.1;
       z-index: 2;
   }
   .firstClick, .secondClick {
       position:absolute;
       top:330px;
       left:60px;
       z-index: 1;
   }
   .secondClick {
       left:210px;
   }
</style>
<div class="firstClick">Click me first</div>
<div class="secondClick">Click me next</div>
<iframe src="https://vulnerable.net/account"></iframe>

Klik hücumlarının qarşısını necə almaq olar?

Klik hücumlarının qarşısını almaq üçün veb developerlər bir sıra təhlükəsizlik tədbirləri həyata keçirirlər. Effektiv strategiyalardan biri X-Frame-Options HTTP başlığından istifadə etməkdir ki, bu da veb-saytlara məzmununun Frame-lərə daxil edilib-edilməməsinə nəzarət etməyə imkan verir. X-Frame-Options başlığını "DENY" və ya "SAMEORIGIN" olaraq təyin etməklə tərtibatçılar öz veb səhifələrinin digər domenlərdə iframe-lərdə göstərilməsinə mane ola bilər və bu, klikləmə cəhdlərinin qarşısını ala bilər. Əlavə olaraq, Məzmun Təhlükəsizliyi Siyasətinin (CSP) başlığından istifadə etmək Frame üçün icazə verilən mənbələri göstərərək mühafizəni daha da gücləndirə bilər. Veb proqramlarının daimi olaraq yenilənməsi və zəifliklərin düzəldilməsi, həmçinin potensial təhlükəsizlik riskləri haqqında istifadəçilərin maarifləndirilməsi klik hücumlarına qarşı hərtərəfli müdafiənin ən yaxşı yollarıdır.

X-Frame-Options

X-Frame-Options əvvəlcə Internet Explorer 8-də qeyri-rəsmi cavab başlığı kimi təqdim edildi və digər brauzerlərdə sürətlə qəbul edildi. Başlıq veb-sayt sahibinə iframe-lərin və ya obyektlərin istifadəsi üzərində nəzarəti təmin edir ki, veb-səhifənin frame-lərə daxil edilməsinin qarşısını alır.

X-Frame-Options: deny

Alternativ olaraq, eyni mənşəli direktivdən istifadə edərək çərçivələmə veb saytla eyni mənşə ilə məhdudlaşdırıla bilər

X-Frame-Options: sameorigin

və ya allow-f direktivindən istifadə edərək:

X-Frame-Options: allow-from https://normal-website.com

X-Frame-Options brauzerlər arasında ardıcıl olaraq həyata keçirilmir (məsələn, Chrome versiyası 76 və ya Safari 12-dəallow-forms direktivi dəstəklənmir). Bununla belə, çox səviyyəli müdafiə strategiyasının bir hissəsi kimi Məzmun Təhlükəsizliyi Siyasəti ilə birlikdə düzgün şəkildə tətbiq edildikdə, klik hücumlarına qarşı effektiv müdafiəni təmin edə bilər.

Yan-keçmə (Bypass)

Frame busterləri JavaScript olduğundan, brauzerin təhlükəsizlik parametrləri onların işləməsinə mane ola bilər və ya brauzer hətta JavaScript-i dəstəkləməyə bilər. Hücumçuların Frame qırmalarına qarşı effektiv həlli HTML5 iframe sandbox atributundan istifadə etməkdir. Bu allow-forms və ya allow-scripts dəyərləri ilə təyin edildikdə və allow-top-navigation dəyəri buraxıldıqda, iframe yuxarı pəncərə olub-olmadığını yoxlaya bilmədiyi üçün çərçivə buster skripti zərərsizləşdirilə bilər:

<iframe id="victim_website" src="https://victim-website.com" sandbox="allow-forms allow-scripts"></iframe>

Həm allow-forms, həm də allow-scripts dəyərləri iframe daxilində göstərilən hərəkətlərə icazə verir, lakin yuxarı səviyyəli naviqasiya deaktiv edilib. Bu, hədəflənmiş sayt daxilində funksionallığa icazə verərkən çərçivənin məhv edilməsi davranışlarını maneə törədir. Həyata keçirilən Clickjacking hücumunun növündən asılı olaraq bunlar sizə lazım ola bilər: allow-same-origin və allow-modals Hücum hazırlayarkən brauzerin konsolunu yoxlamaq kifayətdir, o sizə hansı digər davranışlara icazə verməli olduğunuzu söyləyə bilər.