18

يونيو

الـ ClickJacking او فى رواية اخرى الـ UI Redressing

“الـ ClickJacking او فى رواية اخرى الـ UI Redressing”
­
قبل ما ابداً انا عندى وصف لذيذ للتكنيك دا فى الهجوم حاجه كدا بالعامية بص ياسيدى امسك مفرمة لحمة ولبسها شوال مخروم مكتوب عليه دخل ايدك وخدلك واحدة ايس كريم وقول لحد تعال حط ايدك جوا خدلك واحده ايس كريم، ميعرفش ان اللى داخل الشوال مفرمة لحمه ولو حط ايده هتتف** ، فى المجمل الناس لو شافت المكنه بدون الشوال اكيد مش هيحطوا فيها ايدهم مثلا وهيعرفوا دى ايه اصلا، اما هيا ومستخبيه ولابسه الشوال دا فهيا مكنة ايس كريم 😀
­
الموضوع دا شيق جداً، الهجوم فى حد ذاته بيستغل فى المقام الاول 50% من سذاجة المستخدم، لأن بطبيعة الحال اللى بيستغل ال 100% كلهم هيا ال Social Engineering وطبعا كتبت بوست كامل عنها هتلاقوه هنا ، نرجع لموضوعنا الاساسى، ياترى يعنى ايه ClickJacking؟
– هو نوع من الهجوم الاتاكر بيقوم بتغيير واجهة المستخدم لصفحة معينه حساسه مثلا زى صفحة تغيير الايميل او اضافة ايميل بديل، او لو ربنا كرمك ولقيت واحده منها فى فيسبوك “بس معتقدش” هتخلى بيها اليوزر مثلا ممكن يعمل لايك لصفحة ما، يبوست اى كلام، و و … الخ، الموضوع كله بيعتمد على تغيير الواجهه اللى المفروض انت بتبقى شايفها حماده وبعد الهجوم بقت حماده تاني خالص، زرار اسمه Confirm وفوقيه label بيقولك خد بالك لو ضغطت على الزرار دا هتقوم بحذف الحساب الخاص بك، الاتاكر اخد الصفحه دى وقام حاططها داخل IFrame وحط كل الحاجات دى فى صفحة منفصله، وقام مدارى ال Label بشوال “Div” – “Any kind of Layers” وقالك دوس كونفيرم علشان تاخدلك عشين جنيه او كارت ب 10 فودافون او تاخد واحدة الايس كريم اللى اتكلمنا عنها قبل كدا.

دى اكتر صوره هتوضحلك الشلفطه اللى حصلت فى موقع مشهور جداً قبل وبعد لبسه للشوال للدخول من هنا .
­
عام 2008 ودى السنه اللى تم اكتشاف فيها الهجوم من قبل الاخ فى الله Jeremiah Grossman و Robert Hansen، الاتاك نفسه مرتبط فى المقام الاول بالبراوزر وبمافهيم تانيه كتيره زى CORS او Cross Origin Resource Sharing و SOP او Same Origin Policy ووو الخ. “دور بقى انت وفعفع واكتشف بنفسك”، مرتبط بالبراوزر ازاى؟ زمان مكانش اى موقع يقدر يمنع نفسه من انه يلبس الشوال ويتعرض فى اى فريم الا بالجافاسكربت واللى بدورها كانت بتعمل تشيك على خاصية Top Window واللى كانت بترجع بقيمة Boolean اما الويب سايت داخل اى فريم او هوا التوب او اعلى نافذة مش child يعنى، المهم لو البراوزر دا اتعرض لكود noscript فى الحالة دى مش هتشتغل الجافاسكربت اصلا، ربنا يكرم الشركات القائمة على المتصفحات والوعى الامنى زاد وعملوا باتشينج لكل البلاوى دى فى الاصدارات الجديده، بمعنى ان لو فى اى ويب سايت واخد احتياطاته من الموضوع دا وبيحمى نفسه من ناحية السيرفر وبيطبق كل معايير السلامه واليوزر قاعد زى ماهوا ب Internet Explorer 6 ولا فايرفوكس 3 مثلا هيلبس الشوال بردو لا مفر .
­
-ايه اللى ممكن يحصل\حصل بيها فى الحياة الواقعيه قبل كدا؟
– واحد قدر يخليك بكليكين بس تحذف كل الرسائل اللى فى انبوكس ال Yahoo بتاعك
– واحد قدر يخليك تلعب لعبه وتمسك بتاعه كدا تشدها جوا بتاعه تانيه ياخد منك كل بياناتك الخاصه ببريد Gmail
– وقعت فيها شركات كتير وكبيره زى Facebook – Twitter وغيرهم وغيرهم حد يعملك فولو لمجرد انه بيلعب لعبة XO واحد تانى يعملك لايك للصفحه اللى تحبها بمجرد ما يضغط على زرار ويفتكر نفسه هيكسب رحلة حج وعمره مثلا
­
-طيب انا كباحث امنى هقدر اكشف ثغرة زى دى ازاى واتنطط بيها على ام اللى عاملين الموقع؟
مش هقعد اقولك استخدم Fiddler و Burp Suite وبروكسيهات وكلام مكلكع ودور على ال Response Headers وشوف ان كان فيه الفلاج X-Frame-Options ولا لا، لا بص ياسيدى امسك انت الويب سايت اللى شاكك فيه، اخبطه فى اى فريم كود وافتحه بأى براوزر وشوف، لو الويب سايت دا لقيته فتح فى ال IFrame كويس جدا يبقى فل تيجى لعبة الديفولبر بقى علشان يلبسلك ال IFrame دا شوال.
­
-وطيب انا كديفولبر اقطع عيش الباحثين الامنيين ازاى علشان ميجيش يتنطط عليا ويقولى خد اتفرج على الفيديو دا يافاشل؟
مش هقولك اى حاجه غير انك لازم تبص للموضوع من الناحية الامنيه الاول وتفهمه وتدخل الصفحه دى من هنا هتطلع منها عامل زى اللى اول مره يفهم يعنى ايه IFrame Busting وهتنجز كتير جداً، وللعلم في حلول كتيره زى مثلا لو انك اتبعت اللوجيك وقمت بحماية كل العمليات الحساسه زى تغيير الميل او اضافة ميل بديل او تغيير الاسم او او او ، تعال فى الاخر وخلى اليوزر يكتب الباسوورد بتاعته كتأكيد، او كابتشا من النوع الفشيخ لأن خد بالك الكابتشا بردو بتتفحت *هكتب عنها بوست منفصل وعن تجربتى معاها قبل كدا.
­
-ياترى انا عملت بيها ايه قبل كدا؟!
-اول ثغرة ليا فى موقع Twitter وكانت هيا سبب دخولى ال Hall of Fame كانت عباره عن Clickjacking فى الدومين mobile.twitter.com وتم اصلاحها “لبست تويتر شوال ساعتها”
-فحتت بيها مواقع كتير جدا بس مقدرش اتكلم عنها لأنها لسه مصابه لما تتسد هقوم ان شاء الله بنشر جميع ال PoCs الخاصه بيها، اقربهم موقع افيرا : من هنا اعترفوا بيها بعد ما اتعنتظوا شويه وموقعنا محمى وبتاع اصبح الرد .
-ايام البلاك *الله لا يرجعها* عملت بيها احلى شغل.
­
مصادر هتفيدك جدا فى فهم وسد هجوم زى دا:
1- https://en.wikipedia.org/wiki/Clickjacking
2- https://www.owasp.org/index.php/Clickjacking
3- http://www.contextis.com/services/research/clickjacking-tool
4- http://www.yourepeat.com/g/Clickjack/
5- http://blogs.msdn.com/…/combating-clickjacking-with-x-frame…
6- مجموعة فيديوهات شيقة من مؤتمر Blackhat Europe 2010
7- https://www.youtube.com/results?search_query=ClickJacking
8- http://javascript.info/tutorial/clickjacking
9- https://www.owasp.org/imag…/8/…/Clickjacking_description.png
10- جوجل

الكاتب: محمد عبد الباسط – مدير التقنية وأمن المعلومات.
­

من محافظةالمنيا , 22 سنة وشهور، مبرمج دوت نت حرً ، مؤسس فريق coder #36 فريق متخصص فى مجال التقنية – بحب التدوين جداً وبعشق كتابة المحتوى ? – اشتغلت SEO Specialist من فترة علشان بحب التحدى ، بحب السوشيال ميديا علشان بقضى وقت كبير عليها وبستفاد منها كتير، مسئول عن قسم الـ IT فى جمعية مصر بقرية البرشا “والفرع الرئيسى بالقاهرة”، مؤسس مشارك فى Event True موقع متخصص فى الـ Events.، بحب السمك والفراخ المشوية كتير ? مقولتى المفضلة ” الاحلام بتحقق لما بنصدق ^_^ “