Przez ostat­nich kilka tygo­dni zaczą­łem inte­re­so­wać się hac­kin­giem bez­pie­czeń­stwem stron inter­ne­to­wych. Posta­no­wi­łem więc napi­sać co nieco na temat zabez­pie­cza­nia stron przed takimi ata­kami jak np. SQL Injec­tion, XSS. Pokażę rów­niez metody pod­glą­da­nia kodu źródło­wego, lub uru­cha­mia­nia wła­snego kodu php na stro­nach o sła­bych zabez­pie­cze­niach lub złej kon­fi­gu­ra­cji ser­wera. Dzi­siaj nato­miast w luźny spo­sób opi­szę co to ClickJacking.

Roz­pocz­nijmy od małej gry, którą napi­sa­łem przy uży­ciu jQu­ery na potrzeby tego arty­kułu. Polega ona na bar­dzo szyb­kim kli­ka­niu w poja­wia­jący się czer­wony pro­sto­kąt. Dasz radę? Zagraj!

Clic­kJac­king polega na — tłu­ma­cząc dosłow­nie — „pory­wa­niu klik­nięć“. Zasada jest pro­sta. Nie­wi­dzialna ramka jest ukry­wana pod stroną za pomocą css(a dokład­niej z-index). Czeka ona w tle, aż poten­cjalna ofiara zechce klik­nąć w pewne pole na ekra­nie. Wtedy war­stwa ramki prze­cho­dzi nad war­stwę gry. Użyt­kow­nik myśląc, że klika w praw­dziwy ele­ment w rze­czy­wi­sto­ści uru­cha­mia mecha­nizm z ramki. Brzmi nie­po­zor­nie? Atak taki wyko­rzy­sty­wany jest na wiele spo­so­bów. Można np. umie­ścić w ramcę stronę facebook.com oraz odpo­wied­nio spre­cy­zo­wać pola w które należy klik­nąć. Dzięki temu użyt­kow­nik zmieni swoje usta­wie­nia doty­czące pry­wat­no­ści umoż­li­wia­jąc kra­dzież swo­ich danych oso­bo­wych i moż­li­wość prze­glą­da­nia zdjęć. Wbrew pozo­rom są setki nie­za­bez­pie­czo­nych stron inter­ne­to­wych. Jedną z nich była kie­dyś witryna kon­fi­gu­ra­cyjna wtyczki flash. Odpo­wied­nio spre­cy­zo­wana strona pozwa­lała na zmianę usta­wieć wtyczki tak aby moż­liwy był dostęp do kamery internetowej(sic!). Dzięki temu hake­rzy mogli nawet pod­glą­dać swoje ofiary. Na szczę­ście Adobe wpro­wa­dziło zabez­pie­cze­nia, które unie­moż­li­wiają prze­pro­wa­dze­nie takiego ataku.

Jak się chronić?

Zwy­kli użyt­kow­nicy mogą zain­sta­lo­wać wtyczkę NoScript, która chroni przed tym ata­kiem. W przy­padku twór­ców stron inter­ne­to­wych sprawa jest pro­sta. Nie wolno pozwa­lać uru­cha­miać naszej strony w ramce(tym bar­dziej, że ramki to już prze­sta­rzała tech­no­lo­gia). Robi tak GMail, nasza-klasa, o2 i inni.
Kod(tzw. Fra­me­kil­ler) jest bar­dzo prosty:

<script type="text/javascript">
    if (top!=self){
        top.location.href=self.location.href;
    }
</script>

W przy­padku uru­cho­mie­nia strony w ramce strona nad­rzędna zosta­nie prze­kie­ro­wana na stronę w ramce.