๐ฑ๏ธClickjacking
Basic
Exemple dรฉconnexion d'un utilisateur:
Exemple de changement de mot de passe:
Contournement de frame busters
Le clickjacking n'est possible que si la page web victime autorise son encadrement.
Un mรฉcanisme de protection utilisรฉ pour empรชcher cela est le frame buster. Les frame busters sont implรฉmentรฉs en Javascript, il valide si la fenรชtre actuelle est la fenรชtre principale. L'approche recommandรฉe consiste ร bloquer le rendu de la fenรชtre par dรฉfaut et ร ne le dรฉbloquer qu'aprรจs avoir confirmรฉ que la fenรชtre actuelle est la principale :
Les techniques de contournement de cadre sont souvent spรฉcifiques au navigateur et ร la plate-forme et, en raison de la flexibilitรฉ du HTML, elles peuvent gรฉnรฉralement รชtre contournรฉes par les attaquants. Comme les frame busters sont en JavaScript, les paramรจtres de sรฉcuritรฉ du navigateur peuvent empรชcher leur fonctionnement ou mรชme le navigateur peut mรชme ne pas prendre en charge le JavaScript.
Une solution de contournement efficace contre les frame busters consiste ร utiliser l'attribut "sandbox"
de la balise iframe HTML5. Lorsqu'il est dรฉfini avec les valeurs "allow-forms"
ou "allow-scripts"
et que la valeur "allow-top-navigation"
est omise, le script frame buster peut รชtre neutralisรฉ car l'iframe ne peut pas vรฉrifier s'il s'agit ou non de la fenรชtre supรฉrieure.
Exemple de changement de mot de passe:
Simple Multistep (confirmation)
Derniรจre mise ร jour