Deutsch

Учебник по основам JavaScript

Операторы JavaScript

JavaScript поток управления

Функции JavaScript

Объекты JavaScript

Объектно-ориентированный JavaScript

Версии JavaScript

JavaScript Куки

JavaScript Веб-браузер BOM

Веб-API JavaScript

События JavaScript

Обработка ошибок JavaScript

Важные ключевые слова JavaScript

JavaScript DOM HTML

Разное по JavaScript

JavaScript - Clickjacking-Angriff

Hallo, ambitionierte Programmierer! Heute tauchen wir ein in die faszinierende Welt der Web-Sicherheit und konzentrieren uns auf eine kleine, aber hinterhältige Methode namens Clickjacking. Keine Sorge, wenn du neu im Programmieren bist – ich werde dich durch dieses Thema Schritt für Schritt führen, genau wie ich es in den letzten Jahren für unzählige Schüler getan habe. Also, los geht's!

JavaScript - Clickjacking Attack

Clickjacking-Angriff

Stell dir vor, du bist kurz davor, auf ein süßes Katzenvideo zu klicken, aber stattdessen bestellst du versehentlich 100 Gummienten. Das ist im Grunde, was ein Clickjacking-Angriff macht – er täuscht dich in die irre, sodass du auf etwas klickst, das du nicht intendiert hast.

Clickjacking, auch bekannt als UI-Redressing, ist eine bösartige Technik, die von Angreifern verwendet wird, um Benutzer dazu zu bringen, auf etwas anderes zu klicken, als sie denken, dass sie klicken. Dies kann zu nicht intendierten Aktionen, Datenschutzverletzungen oder sogar der Installation von Malware führen.

Wie funktioniert Clickjacking?

Nun, lassen wir uns ansehen, wie dieser hinterhältige Angriff tatsächlich funktioniert:

  1. Der Angreifer erstellt eine scheinbar harmlose Webseite.
  2. Sie betten eine Zielwebsite (diejenige, mit der sie interagieren möchten) in einem unsichtbaren iframe ein.
  3. Die Seite des Angreifers ist so gestaltet, dass sie die Buttons oder Links der Zielwebsite perfekt überlagert.
  4. Wenn du denkst, du klickst auf die Seite des Angreifers, interagierst du tatsächlich mit der versteckten Zielwebsite.

Es ist wie eine Zauberkünstlers sleight of hand, aber mit Webseiten!

Beispiele

Sehen wir uns einige Codebeispiele an, um dieses Konzept besser zu verstehen. Keine Sorge, wenn du noch nicht alles verstehst – wir werden es Schritt für Schritt durchgehen!

Beispiel 1: Basis-Clickjacking

<html>
<head>
<title>Gewinne einen Preis!</title>
<style>
#target_website {
position:relative;
width:128px;
height:128px;
opacity:0.00001;
z-index:2;
}
#decoy_website {
position:absolute;
width:300px;
height:400px;
z-index:1;
}
</style>
</head>
<body>
<div id="decoy_website">
<h1>Klicke hier, um einen Preis zu gewinnen!</h1>
<button>Preis beanspruchen</button>
</div>
<iframe id="target_website" src="https://example.com/delete-account"></iframe>
</body>
</html>

In diesem Beispiel:

  • Wir erstellen eine Locksite, die einen Preis verspricht.
  • Wir betten die Zielwebsite (example.com/delete-account) in einem unsichtbaren iframe ein.
  • Das iframe wird über dem "Preis beanspruchen"-Button positioniert.
  • Wenn ein Benutzer auf den Button klickt, klickt er tatsächlich auf den "Konto löschen"-Button auf der Zielwebsite!

Beispiel 2: Clickjacking mit Drag and Drop

<html>
<head>
<title>Foto-Editor</title>
<style>
#target_website {
position:absolute;
width:300px;
height:400px;
opacity:0.00001;
z-index:2;
}
#decoy_website {
width:300px;
height:400px;
z-index:1;
}
</style>
</head>
<body>
<div id="decoy_website">
<h1>Ziehe das Bild, um es zu bearbeiten</h1>
<img src="cute_cat.jpg" draggable="true" ondragstart="drag(event)">
</div>
<iframe id="target_website" src="https://example.com/share-private-data"></iframe>
<script>
function drag(ev) {
ev.dataTransfer.setData("text", ev.target.id);
}
</script>
</body>
</html>

In diesem fortgeschritteneren Beispiel:

  • Wir erstellen eine gefälschte Foto-Editor-Oberfläche.
  • Die Zielwebsite (die möglicherweise private Daten teilt) wird in einem unsichtbaren iframe eingebettet.
  • Wenn der Benutzer versucht, das Bild zu ziehen und abzulegen, könnte er versehentlich mit der Zielwebsite interagieren und private Informationen teilen.

Realweltliche Clickjacking-Vorfälle

Clickjacking ist nicht nur eine theoretische Bedrohung. Es wurde in realen Angriffen verwendet:

  1. Im Jahr 2008 verbreitete sich ein Clickjacking-Wurm über Facebook, der Benutzer dazu brachte, unwissentlich auf die "Gefällt mir"-Schaltfläche auf bestimmten Seiten zu klicken.
  2. Im Jahr 2012 zeigte ein Forscher einen Clickjacking-Angriff auf Googles Android-App-Markt, der Benutzer dazu bringen konnte, Apps ohne ihr Wissen zu kaufen.
  3. Im Jahr 2017 wurde eine Clickjacking-Lücke in der Microsoft Outlook Web App entdeckt, die Angreifern möglicherweise erlaubte, die E-Mails der Opfer zu lesen.

Diese Vorfälle zeigen, warum es so wichtig ist, Clickjacking-Angriffe zu verstehen und zu verhindern.

Präventive Maßnahmen

Nun, da wir die Gefahren kennen, schauen wir uns an, wie wir uns vor Clickjacking schützen können:

Methode Beschreibung Beispiel
X-Frame-Options HTTP-Header, der verhindert, dass eine Seite in einem iframe angezeigt wird X-Frame-Options: DENY
Content Security Policy Ermöglicht eine fein abgestimmte Kontrolle darüber, welche Quellen deine Inhalte einbetten können Content-Security-Policy: frame-ancestors 'self'
Frame Breaking Scripts JavaScript, das aus iframes ausbricht if (top != self) top.location = self.location;
SameSite Cookies Verhindert, dass Cookies in Cross-Site-Anfragen gesendet werden Set-Cookie: session=123; SameSite=Strict

Sehen wir uns ein einfaches Beispiel eines Frame-Breaking-Skripts an:

<html>
<head>
<style>html{display:none;}</style>
<script>
if (self == top) {
document.documentElement.style.display = 'block';
} else {
top.location = self.location;
}
</script>
</head>
<body>
<h1>Geschützte Inhalte</h1>
<p>Diese Seite ist vor Clickjacking geschützt!</p>
</body>
</html>

Dieses Skript doet folgendes:

  1. Versteckt initially die gesamte Seite.
  2. Überprüft, ob die Seite das oberste Fenster ist.
  3. Wenn ja, zeigt es den Inhalt an.
  4. Wenn nicht (d.h. es ist in einem iframe), bricht es aus dem iframe aus.

Denke daran, Web-Sicherheit ist wie ein Katz-und-Maus-Spiel. Wenn neue Angriffsmethoden auftauchen, müssen wir unsere Verteidigungen kontinuierlich aktualisieren. Bleibe neugierig, weiterlernen und immer Sicherheit in deinem Web-Entwicklungsprozess priorisieren!

Ich hoffe, dieser Tutotial hat dir geholfen, Clickjacking-Angriffe zu verstehen. Denke daran, dass mit großer Codiermacht auch eine große Verantwortung verbunden ist. Nutze deine Fähigkeiten weise und viel Spaß beim Coden!

Credits: Image by storyset

Vorheriges Tutorial:
JavaScript - IndexedDB
Nächstes Tutorial:
JavaScript - Currying