Clickjacking — champs de formulaire préremplis via paramètre d’URL

Clickjacking with form input data prefilled from a URL parameter

Lab: Clickjacking with form input data prefilled from a URL parameter | Web Security AcademyWebSecAcademy

Changer l’adresse e-mail d’un utilisateur en profitant d’un formulaire sur la page de compte qui accepte un paramètre email dans l’URL. L’attaque consiste à afficher la page ciblée dans un iframe (rendu quasiment invisible) et à inciter la victime à cliquer sur un élément factice “Click me” qui superpose le bouton Mettre à jour l’e-mail du site vulnérable. Le lab est résolu lorsque l’email du compte a été modifié.

Identifiants fournis

• Utilisateur : wiener

• Mot de passe : peter

• La page de gestion du compte utilise un token CSRF, mais ce token est traité côté même page — il n’empêche pas une mise à jour si le formulaire est soumis depuis l’intérieur du iframe chargé depuis le domaine cible.

• Il est possible de préremplir le champ e-mail en passant ?email=<valeur> dans l’URL de la page /my-account. Exemple : [email protected].

1. Charger la page de compte vulnérable dans un iframe en ajoutant le paramètre email avec l’adresse que l’on souhaite imposer.

2. Rendre l’iframe quasi-invisible (faible opacité ou positionnement) de manière à superposer un élément déclencheur visible sur la page d’attaque.

3. Placer un faux bouton / label « Click » que la victime cliquera, et qui correspond spatialement au bouton réel « Mettre à jour l’e-mail » dans l’iframe.

4. Lorsque la victime clique, le clic est en réalité transmis au bouton du formulaire dans l’iframe et soumet le formulaire avec l’e-mail prérempli.