Populäre Browser weiterhin für Clickjacking-Angriffe anfällig

Dieses Thema im Forum "Netzwelt" wurde erstellt von zwa3hnn, 29. Januar 2009 .

Schlagworte:
  1. 29. Januar 2009
    Populäre Browser weiterhin für Clickjacking-Angriffe anfällig

    Eine vom Sicherheitsspezialisten Aditya K Sood veröffentlichte Demo zeigt einmal mehr, dass die Browserhersteller immer noch keine Abhilfe gegen die im vergangenen Jahr als Clickjacking bekannt gewordenen Angriffsmethode gefunden haben. Beim Clickjacking schiebt eine manipulierte Webseite beispielsweise einen durchsichtigen iFrame unter den Mauszeiger. Im Glauben, etwas auf der angezeigten Seite anzuklicken, klickt der Anwender jedoch auf Elemente im iFrame, beispielsweise Buttons in Weboberflächen auf Routern, die Einstellungen verändern oder Aktionen starten.

    So ähnlich arbeitete auch Soods Demo, die eigentlich nur zeigen sollte, dass der Google-Browser Chrome für Click-Jacking verwundbar ist. Sie funktioniert aber auch mit der aktuellen Versionen von Firefox. Die Demo führt vor, wie der Browser beim Schweben des Mauszeigers über einem Link in der Statusleiste zwar zunächst die richtige URL anzeigt, im vorliegenden Fall yahoo.com, der Klick dann allerdings die Cross-Site-Scripting-Datenbank xxsed.com aufruft. Phisher könnten dies für ihre Zwecke ausnutzen.

    Die im Firefox-Plug-in NoScript implementierte Anti-Clickjacking-Funktion ClearClick wehrte den Angriff in einem kurzen Test der heise-Security-Redaktion ab, sodass der Browser wie gewünscht yahoo.com aufrief. Allerdings warnte NoScript nicht vor dem Angriff. [Update]Ein erneuter Test zeigte, dass allein das Blockieren von JavaScript der schützende Faktor ist. Sobald man das Ausführen von Skripten erlaubt, funktioniert die Demo trotz aktiviertem ClearClick-Schutz. NoScript erkennt offenbar nicht alle Varianten von Clickjacking[/Update]

    Grundsätzlich ist auch der Internet Explorer für Clickjacking anfällig, Soods Demo funktioniert hier jedoch nicht. Microsoft plant immerhin in Version 8 des Internet Explorer eine Anti-Clickjacking-Funktion einzuführen – im Release Candidate ist sie bereits vorhanden. Allerdings handelt es sich nach Aussagen von Browserspezialisten eher um einen passiven Schutz, der darauf vertraut, dass Webseiten-Entwickler einen bestimmten Header an den Browser senden, um den Clickjacking-Missbrauch von Buttons zu verhindern.

    Laut Giorgio Maone, dem Entwickler von NoScript, handelt es sich dabei um den Header-Zusatz:"X-FRAME-OPTIONS: DENY". Solange eine Seite dies nicht signalisiert, arbeitet der Schutz nicht. Da nicht damit zu rechnen ist, dass demnächst alle Betreiber von Webservern oder Entwickler von Weboberflächen den proprietären Header mitsenden, ist die Anti-Clickjacking-Funktion im Internet Explorer 8 nutzlos.


    quelle: heise online
     
    + Multi-Zitat Zitieren
  3. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.

Auf dieses Thema antworten