Nuovo attacco: Clickjacking

[Sisupoika]

Quote:

pochi..

mi sfotti?

Quote:

è utile anche in molte altre situazioni, quindi ben vengano queste pezze

evvabbe che ti devo dire, accattatavill (o come diavolo si scrive)

Quote:

di default hai ragione, però volevo sottolineare che è possibile ottenere lo stesso risultato con firefox

l'importante e' che alla fine ci capiamo

Quote:

leggendo questo sembrerebbe di si:
http://blogs.zdnet.com/security/?p=1973

"I had access to detailed information about how this attack works"

uhm... questo e' cio che dice lui, ma sul ha.ckers.org abbiamo:

# Giorgio Maone Says:
September 19th, 2008 at 2:02 pm

@Jeremiah, RSnake:
could you share privately some more details with me?
Maybe NoScript could reach a perfect 100%
# Jeremiah Grossman Says:
September 20th, 2008 at 7:35 am

Hi Giorgio, not right now, sorry. Soon though we hope.

However, I believe those running NoScript and other security plug-ins like it really have a low probability of being impacted.


Almeno fino ad oggi 6 Oct non ho trovato nessuna traccia di una "ufficiale" collaborazione tra Hansen&Grossman e Maone. Non ho trovato da nessuna parte dove Hansen o Grossman dicono di aver spiegato tutto a Maone affinche' egli aggiorni Noscript di conseguenza.

Che possiamo dire in merito? Boh..

[riazzituoi]

.

[Sisupoika]

Quote:

"As I hinted in my original clickjacking article "

link => "Sorry, no posts matched your criteria."

Cmq se e' vero che c'e' stata collaborazione, tanto meglio per lui e soprattutto chi usa Noscript

[eraser]

Da quello che ho capito (da persone più esperte di me in questo specifico settore) questa tipologia di attacco è abbastanza vecchia, addirittura alcuni esempi sono datati 2005

[Sisupoika]

Quote:

Originariamente inviato da eraser

Da quello che ho capito (da persone più esperte di me in questo specifico settore) questa tipologia di attacco è abbastanza vecchia, addirittura alcuni esempi sono datati 2005

Non so di preciso da quand'e' che si sono visti i primi esempi, cmq di certo non risale ne' a Settembre 2008, ne' a Settembre 2007 quando ne facevo cenno qui

Cmq devo preparare un'altra demo su una variante

[Chill-Out]

Demo

http://www.planb-security.net/notcli...rametrick.html

[Sisupoika]

Quote:

Originariamente inviato da Chill-Out

Demo

http://www.planb-security.net/notcli...rametrick.html

http://www.hwupgrade.it/forum/showthread.php?t=1835819

[Chill-Out]

Quote:

Originariamente inviato da Sisupoika

http://www.hwupgrade.it/forum/showthread.php?t=1835819

L'avevo visto

[El Tazar]

Non ho capito una cosa,
di default IE7 sarebbe già al riparo?

Scusate ma non ho capito il passaggio

[Sisupoika]

Quote:

Originariamente inviato da El Tazar

Non ho capito una cosa,
di default IE7 sarebbe già al riparo?

Scusate ma non ho capito il passaggio

Non e' esattamente "al riparo"
E' meno vulnerabile degli altri se confronti i browser a condizioni e impostazioni di default.
Questo tipo di attacco avrebbe senso se portato contro un sito nel quale la vittima e' in quel momento loggato. Almeno per la maggioranza dei siti con autenticazione - e' probabile che dei cookies siano stati salvati nel browser nel momento in cui l'utente si e' loggato, in modo da evitare un nuovo login ad ogni volta (a parte discorso della scadenza dei cookies ecc).
In queste condizioni, l'attacco funzionerebbe con Internet Explorer soltanto se hai una sessione attiva del sito vittima, mentre visiti il sito diciamo "maligno".
In quel modo e' possibile, per il sito maligno, far si' che il sito vittima acceda ai suoi cookies anche dall'interno di un iframe.
Ma se non hai sessioni attive del sito vittima in quel momento, allora non dovrebbe avere successo poiche' il sito vittima stesso, quando eseguito in un iframe, non puo' accedere ai suoi stessi cookies a causa della implementazione di P3P di IE.
Con gli altri browsers, invece, in condizioni normali e' sufficiente che tu sia loggato e abbia ancora i cookies di autenticazione nel browser, perche' la cosa funzioni. Anche se non hai sessioni attive del sito vittima in quel momento.

[riazzituoi]

.

[Sisupoika]

Quote:

Originariamente inviato da riazzituoi

Il fatto è che è praticamente impossibile non avere sessioni attive (tabbed browsing rulez )

Infatti

Quote:

edit:
forse con IE8 non ci dovrebbe essere questo problema (intendo quello di chiudere completamente il browser)

Mi chiedevo lo stesso, ma non ho ancora avuto tempo per provarlo.

[El Tazar]

Ok adesso è chiaro

Ti ringrazio per la esauriente spiegazione

[Chill-Out]

http://www.adobe.com/support/securit...apsa08-08.html

[Sisupoika]

Quote:

Originariamente inviato da Chill-Out

http://www.adobe.com/support/securit...apsa08-08.html

Attivare camera e microfono all'insaputa dell'utente...lol
Con questi trucchetti sembra che le applicazioni siano infinite
La seconda demo che stavo preparando riguarda java.
Ho messo un piccolo uploader Java nella pagina ed un falso link.
Se Java e' installato nel sistema, col falso click faccio fare upload del file desktop.ini della cartella Documents dell'utente (giusto un file a tromba come PoC )
Cmq stavo avendo problemi e l'ho temporaneamente lasciata perche' devo lavorare.
Ma il concetto e' chiaro: Java puo' essere anche piu' pericoloso di Flash in determinate condizioni.

[riazzituoi]

.

[Sisupoika]

Quote:

Originariamente inviato da riazzituoi

NoScript si aggiorna con una nuova funzionalità anti-clickjacking (indipendente dall'opzione forbid iframe):

Hello ClearClick, Goodbye Clickjacking!


PS
ho fatto una prova veloce con IE8, e ho notato che l'attacco funziona solo se si forza la compatibilità (vista compatibilità), altrimenti anche con la sessione attiva non accede al cookie.

Compatibilita'? a che ti riferisci di preciso?

Cmq sembrerebbe confermato che si tratta dei trucchetti di cui parlavamo, o comunque di quel genere di cose. Perche' e' stata fatta passare per cosa nuova, se e' questo il caso?

[riazzituoi]

.

[Sisupoika]

Quote:

In IE8 c'è un pulsante vicino la barra degli indirizzi, per forzare la compatibilità dei siti. Non mi sono documentato, quindi non so come funzioni di preciso, però l'attacco riesce solo se è attivata la compatibilità (e ovviamente c'è la sessione attiva).

Se la compatibilità non è attivata l'attacco (parlo della tua demo) non riesce, anche se c'è la sessione attiva.

capito. non l'ho visto ancora, e non ho la piu' pallida idea di come sia

Quote:

come la scoperta dell'America

forse e' meglio attendere qualche dettaglio in piu'.
Puo' anche darsi che questo clickjacking sfrutti roba vecchia ma in un modo completamente nuovo. Se riesco ad avere tempo daro' una occhiata anche a Noscript, per vedere cosa implementa e come si comporta; ad una veloce lettura del post di Maone a riguardo, la soluzione mi sembra carina, intendo quel genere di alert cosi' bene esplicativo.
Come gia' detto diverse volte non mi piacciono molti aspetti di Noscript, pero' se l'autore riuscisse a trasformarlo in una sorta di hips con alerts fatti bene come questo "ClearClick", allora si' che sarebbe figo!
Significherebbe che un sito potrebbe funzionare normalmente, e che Noscript interverrebbe soltanto quando un'azione potenzialmente pericolosa avviene.
Ma per forza di cose una simile soluzione e' molto difficile, sempre se possibile, da realizzare. Tra Javascript e CSS, e tutte le infinite modalita' di scrittura e offuscamento possibili... hai voglia

Piccolo OT: un paio di giorni fa ho visto una vulnerabilita' nei Gadgets di Google nella gestione del mash up tra i diversi domini... non ho letto ancora niente in proposito quindi non so se si sa gia'.
Cmq in pratica da un gadget puoi compromettere il comportamento di un altro gadget (se questo e' presente nella stessa pagina).
Nelle prove che ho fatto avevo il gadget di Google Docs e quello di prova nella stessa pagina, e dal mio ho letto la lista dei documenti dall'altro gadget.
Questa cosa gia' da sola... lol. O blocchi tutto e dimentichi mashups fatti in questo modo, rinunciando a tutte le funzionalita' connesse, o rischi sempre e comunque. La vedo dura realizzare una soluzione tipo hips come dicevo prima
Ieri poi leggevo la draft dell'html 5, circa gli aggiornamenti sull'integrazione di un sistema per il cross domain scripting.

STRA-LOL:

E' gia' vulnerabile alla base, all'origine del concetto: si baserebbe su una sorta di autorizzazioni a livello di domini (cioe' potrai, per esempio, autorizzare il dominio A ad inviare messaggi al dominio B), ma il bello e' che i domini vengono trasmessi come semplici stringhe nello scambio di messaggi.
E quanto ci vuole, in questo modo, a fare fake requests o inviare messaggi facendosi passare per un altro dominio?

[W.S.]

Quote:

Originariamente inviato da Sisupoika

Ieri poi leggevo la draft dell'html 5, circa gli aggiornamenti sull'integrazione di un sistema per il cross domain scripting.

STRA-LOL:

A questo affiancaci lo storage lato client e vedi che bel casino salta fuori

Non ci si scappa, l'architettura alla base è troppo debole, si ha pensato troppo alle funzionalità e troppo poco alla sicurezza. Ora ne hai voglia di metterci pezze.

Un hips per verificare il comportamento del codice web penso sarebbe ancora più complesso rispetto a quelli che conosciamo. Buona l'idea, ne ho sentito parlare anche un annetto fa, da qui ad implementarla... è una grande sfida.