ClickJacking
Útok ClickJacking spočívá v tom, že útočník na své stránce zobrazí v rámu naši aplikaci a přiměje uživatele, aby do ní klikal (např. formou hry, kterou přes rám zobrazí, přiměje uživatele, aby prováděl útočníkem požadované operace).
Bránit se tomu donedávna dalo pouze skriptem, který detekoval, jestli aplikace není zobrazena v rámu, JavaScript ale uživatel může mít vypnutý (v IE navíc může útočník skripty v rámu zakázat). Moderní prohlížeče (IE8, Safari 4, Chrome 2, Firefox zatím pouze s extenzí NoScript) ale naštestí zavedly podporu hlavičky X-Frame-Options: deny, která zobrazení stránky v rámu zabrání systémově. Tuto hlavičku je vhodné posílat na stránkách s akcemi specifickými pro jednoho uživatele (tedy na stejných stránkách, které mají obranu proti CSRF).
Přijďte si o tomto tématu popovídat na školení Bezpečnost PHP aplikací.
Diskuse
v6ak:
Dodám, že zatímco v CSRF je potřeba bránit akční stránku, tak tady je potřeba bránit "odkazující" stránku.
v6ak: Michal Raška:
V čem spočívá užitek v klikání na mou aplikaci na jiné stránce? Možná snad kvůli reklamě...Michal Raška:
Díky moc, je to jasne... To snad neni pravda...
Jakub Bouček:
Nechápu, jak lze cokoliv překrýt jakýmkoliv obrázkem, aby se při tom klikací událost přenesla na objekt níže?
Jakub Bouček: 
Jakub Vrána 
:
Události probublávají dospod. Hra navíc může spočívat v tom, že vždycky malý kousek původní aplikace zůstane vidět (a do něj má uživatel kliknout).
Jakub Vrána : kocour v botách:
Pár dalších informací...
http://www.webmasterworld.com/webmaster/4022867.htm
Diskuse je zrušena z důvodu spamu.
Navigace
PHP triky
Kupte si mou knihu
Reklama
- Hledáte-li programátora nebo naopak sami programujete a nemáte do čeho píchnout, využijte služeb portálu nezávislých profesionálů Na volné noze.
Web běží na serveru
Články podle skupin
- Dobře míněné rady (112)
- Řešení problému (170)
- Výuka (100)
- Seznámení s oblastí (107)
- Ze zákulisí (69)
- Školení (31)
- Verze PHP (8)
- Osobní (46)
- Adminer (74)
Výběr článků
- Traverzování kolem stromu prakticky
- Vlastní pořadí řádků v tabulce
- Ukázka použití indexů
- Struktura stránek
- Unikátnost návštěvníka
- Vyhledávání v JavaScriptu
- Kontrola e-mailové adresy
- Vytvoření přátelského URL
- HTTP cachování
- Atomicita operací
- Vypnutí magic_quotes_gpc
- Ukládání souborů od uživatele
- Cross Site Scripting
- AJAX
- Přihlašování uživatelů
- MySQL 4.1 – kódování
- Vzájemné propojení souborů
- Diskuse s reakcemi
- Šablony
- HTTP metody GET a POST
- Escapování
- Ukládání hesel
- Využití unikátních klíčů v databázi
- Obrana proti SQL Injection
Nejnovější články
- Adminer 5.1.0 - autoloading pluginů
- Google Gemini: API
- GitHub API: Získání času modifikace Gistu
- Adminer 5.0.6
- Tmavý vzhled v CSS
Normy a manuály
Další projekty
© 2005-2025 Jakub Vrána.
Publikované texty můžete přetiskovat pouze se svolením autora. Ukázky kódu smíte používat s uvedením autora a URL tohoto webu bez dalších omezení 
.
Můžeme si tykat.
Skripty předpokládají nastavení: magic_quotes_gpc=Off, magic_quotes_runtime=Off, error_reporting=E_ALL & ~E_NOTICE a očekávají předchozí zavolání mysql_set_charset.
Skripty by měly být funkční v PHP >= 4.3 a PHP >= 5.0.