CSS 相關的攻擊 (中篇) - clickjacking 的其他形式

Clickjacking 千變萬化的形式們

除了先前提到的 clickjacking 攻擊 - 透過隱藏 or 調整透明度並疊加元素來誘騙使用者的方式外，還有其他很多種形式，以下簡單介紹幾種形式:

1. 插入式覆蓋 (insert overlays):

以下攻擊方式會透過各種插入元素(or 疊加元素)的方式誘使使用者誤觸元素:

• 點擊事件丟棄 (Click Event Dropping)
  攻擊者將 CSS point-events 屬性設為 none，這表示點擊似乎不會在頁面上執行任何操作。
  但在實際上，點擊是在下面的惡意頁面上進行的。

• 內容快速變換 (Rapid Content Replacement)
  覆蓋層被覆蓋，移除幾分之一秒以記錄點擊，然後立即替換。在這種情況下，用戶可能不會注意到他們正在單擊可能是惡意的按鈕或鏈接，因為該對象消失得如此之快。

2. 其他方式:

• 捲動
  攻擊者會建立一個合法的對話框或彈出窗口，其中的按鈕部分位於螢幕之外。這些按鈕會轉到下面的惡意網頁，但該框顯示為無害的提示。

  • 使用此方式攻擊者面臨的挑戰:
    受害者的瀏覽器上可能安裝了廣告攔截器或彈出視窗攔截器，因此攻擊者需要找到一種方法來規避這一點。 （虛假廣告攔截器擴充功能是另一種類型的網路攻擊。）

• 重新定位
  這是一種快速內容替換攻擊，其中網路攻擊者快速移動受信任的使用者介面 (UI) 元素，而使用者則專注於網頁的另一部分。這個想法是讓受害者無意中點擊移動的元素，而不是專注於閱讀、滾動或點擊頁面上的其他內容。

• Drag and Drop
  不只是點擊，受害者需要填寫表格或執行其他操作。
  網路表單可能看起來與合法頁面的表單相似，但當使用者填寫欄位時，網路攻擊者會透過下面的惡意頁面擷取資料。
  與任何網路攻擊一樣，其目標是在受害者不知情的情況下獲取個人或敏感資訊。

如何防禦?

除了先前提及的 CSP、X-Frame-Options 等設定外，我們還有其他方式可以防禦:

• 安裝 Browser 插件
  某些 Web 瀏覽器具有附加元件，一旦出現超文本傳輸協定 (HTTP) 請求，這些附加元件就會停止腳本執行。
  而當腳本停止運作時，網路攻擊者的程式碼就無法執行。若您使用公司的電腦，可以安裝公司推薦的插件確保你的 Browser 有被保護。

今日小心得

今天補班日，回家的時候發現自己已經累到癱掉，所以今天只有簡單研究了一下各種有可能的 clickjacking 攻擊方式，透過了解多一些 clickjacking 的攻擊方式，算是讓我對於 clickjacking 有更深一層認識了XD 明天繼續研究跟 CSS 相關的攻擊 gogo~

Reference

• Clickjacking type:
  https://www.fortinet.com/tw/resources/cyberglossary/clickjacking
• Clickjacking lab:
  https://portswigger.net/web-security/clickjacking