Clickjacking Exploit Attack في جميع المتصفحات
السلام عليكم ورحمة الله وبركاته
لا اعرف لماذا نسيت أكتب عن الموضوع هذا والذي تم نشره في 26 من الشهر الحالي وهو يخص 0Day جديد موجه للمستخدم العادي الذي يستعمل المتصفح في حياته اليومية على الأنترنت ...
Clickjacking هو عبارة عن طريقة/عملية تجبر أو ترغم المستخدم في الضغط على روابط بدون علمه، بحيث يكون الرابط مخفي بشكل كلي أو بشكل جزئي من خلال ظهوره لوهلة بسيطة ربما أجزاء الثانية ...
"clickjacking" refers to a process by which a user is forced to click on a link without his or her knowledge—the link itself may be nearly invisible or visible for only a fraction of a second.
وصف آخر للمشكلة هذه:
In a nutshell, it’s when you visit a malicious website and the attacker is able to take control of the links that your browser visits. The problem affects all of the different browsers except something like lynx. The issue has nothing to do with ********** so turning ********** off in your browser will not help you. It’s a fundamental flaw with the way your browser works and cannot be fixed with a simple patch. With this exploit, once you’re on the malicious web page, the bad guy can make you click on any link, any button, or anything on the page without you even seeing it happening.
المصدر
الحل بالوقت الحالي هو كما قال Vivek أن تقوموا بإيقاف كل شيء مثل السكربتات والإضافات أقصد هنا plugins مثل فلاش وهال أمور ... أو تركب كما فعلت أنا بناءاً على كلام Vivek أيضاً الإضافة التالية:
NoScript firefox plugin
لإضافتها للفايرفوكس أضغط هنا ---> Add To Firefox
بعد تركيبها قم بإعادة تشغيل الفايرفوكس ومن ثم أذهب الى:
Tools -> Add-ons -> No Script -> Preferences -> Plugins
ومن ثم قم بإختيار الخيار:
كود:Forbid <IFRAME>
والحين الأمور ستكون صحيح معقدة حين تزور المواقع ولكن على الأقل أنت تحدد هل الموقع موثوق للسماح بسكربتاته بالعمل أو لا
أو تستعمل المتصفحات التي تعمل من الطرفية مثل lynx والسلام
مصادر ذات صلة:
الأول
الثاني
الثالث
الرابع
وكل عام وأنتم بألف ألف خير يارب
?If you can live for ever, what shall you live for
[========= B!n@ry-z0ne =========]إذا المرء لا يرعاك إلا تكلفاً... فدعه ولا تكثر عليه التأسفا
ففي الناس أبدال وفي الترك راحة... وفي القلب صبر للحبيب ولو جفا
فما كل من تهواه يهواك قلبه... ولا كل من صافيته لك قد صفا
إذا لم يكن صفو الوداد طبعية... فلا خير في خل يجيء تكلفا
ولا خير في خل يخون خليله... ويلقاه من بعد المودة بالجفا
وينكر عيشاً قد تقادم عهده... ويظهر سراً كان بالأمس في خفا
---------------------------------------------------
\\ أروع موقع للإستماع وقراءة القرآن الكريم بلغات عدة وبقراءات عدة //
---------------------------------------------------
Tariq - A Hybrid Port Knocking System
طيب فرضنا شغلنا رابط و أنا طبعا شغال باللينوكس .. ايش الفايدة؟
يعني لو بيركب برنامج لازم أوافق .. ايش ممكن يسوي غير كذا؟
صحيح ما الخطورة ؟
ماذا لو كانت تلك الروابط لسرقة الكوكبز، او حتى لإعلانات مزعجة (يأخذون منك كليك)المشاركة الأصلية كتبت بواسطة المهندس الرائد
لا تصدق كل ما تسمع انظر
http://it.slashdot.org/article.pl?si...55228&from=rss
http://blogs.zdnet.com/security/?p=1972
والذي أوصلني
http://blogs.zdnet.com/security/?p=1733
والذي قال أن مستخدمي كل الأنظمة حتى أوبنتو
http://ubuntu-virginia.ubuntuforums....d.php?t=886905
وأخرا وضعوا proof-of-concept demo
يفترض أنه يمنعك من عمل نسخ ولصق
http://raffon.net/research/flash/cb/test.html
فتحته (في فايرفوكس 3.0.1) ولم يحدث شيء
لم أفهم ايش الخطورة في الأمر ؟
الخطورة هي الي وضحوها الناس، أقرؤا الجزئية هذه:
with this exploit, once you’re on the malicious web page, the bad guy can make you click on any link, any button, or anything on the page without you even seeing it happening
أما يا مؤيد ما أصدق كل ما اراه، صدقني لست من هؤلاء والى الآن أعتبر نفسي في بيئة آمنة نوعاً ما ... ولكن ما الظرورة من زيادة الحذر؟ وكما يقولون "الحذر واجب" !!!!
وكل عام وأنتم بخير ...
?If you can live for ever, what shall you live for
[========= B!n@ry-z0ne =========]إذا المرء لا يرعاك إلا تكلفاً... فدعه ولا تكثر عليه التأسفا
ففي الناس أبدال وفي الترك راحة... وفي القلب صبر للحبيب ولو جفا
فما كل من تهواه يهواك قلبه... ولا كل من صافيته لك قد صفا
إذا لم يكن صفو الوداد طبعية... فلا خير في خل يجيء تكلفا
ولا خير في خل يخون خليله... ويلقاه من بعد المودة بالجفا
وينكر عيشاً قد تقادم عهده... ويظهر سراً كان بالأمس في خفا
---------------------------------------------------
\\ أروع موقع للإستماع وقراءة القرآن الكريم بلغات عدة وبقراءات عدة //
---------------------------------------------------
Tariq - A Hybrid Port Knocking System
يستطيعون بها إدخال العديد من الأموال
عن طريق الإعلانات و خاصة google
سنلاحظ العديد من الـ pop-up's هذه الأيام
لم أقصدك يا أبو محمد، قصدت تطمين روع الخائفينأما يا مؤيد
خلوهم يتربحوا
وما أشك لو لحظة بيك يا مؤيد إنك تقصدني صدقني ... أعرفك زين وأعرف معدنك الأصيل ...
لكن قلت "أما أنت يا مؤيد" لاني ما أقتبست كلامك ورديت عليه وكانت هذه الجملة بدل من الإقتباس
تحياتي لك يالغالي ...
?If you can live for ever, what shall you live for
[========= B!n@ry-z0ne =========]إذا المرء لا يرعاك إلا تكلفاً... فدعه ولا تكثر عليه التأسفا
ففي الناس أبدال وفي الترك راحة... وفي القلب صبر للحبيب ولو جفا
فما كل من تهواه يهواك قلبه... ولا كل من صافيته لك قد صفا
إذا لم يكن صفو الوداد طبعية... فلا خير في خل يجيء تكلفا
ولا خير في خل يخون خليله... ويلقاه من بعد المودة بالجفا
وينكر عيشاً قد تقادم عهده... ويظهر سراً كان بالأمس في خفا
---------------------------------------------------
\\ أروع موقع للإستماع وقراءة القرآن الكريم بلغات عدة وبقراءات عدة //
---------------------------------------------------
Tariq - A Hybrid Port Knocking System
شكرا لك مرة اخرى هذه الإضافة من أقوى إضافات فيرفوكس و أكثرها شعبية. ابحثوا في موقع https://addons.mozilla.org/en-US/firefox/ عنها.
و هناك إضافة لمنع الكوكيز اسمها كوكيز safe لا ادعها أيضا. لا احب ان يطلع احد على معلوماتي أكثر من اللازم و لأن الجافا سكريبت قد تعمل أخطاء و خطورة.
و أنا استخدم No Script منذ أيام ويندوز. لا أعادها الله.
خطورة الموضوع إخواني الكرام أن بإمكان المهاجم في حال كون حاسوبك موصول بميك أو كاميرا تصويرك وتسجيلك. طبعاً هذا جانب من خطورة الموضوع.
الموضوع لا يستهان به أبداً إلا إن كنت لا تهتم بإمنك وخصوصيتك أو تأخذ الأمور دائماً ببساطة.
مشكور أخوي أسامة على مرورك وإضافتك ... أهم شي إن شاء الله ما تحتاج ترجع للويندوز
هلا أخوي الباحث ... أيضاً أود شكرك على هذه الإضافة وتأكيد خطورتها للأخوة الأعزاء ...
نورتوا الموضوع يا شباب
?If you can live for ever, what shall you live for
[========= B!n@ry-z0ne =========]إذا المرء لا يرعاك إلا تكلفاً... فدعه ولا تكثر عليه التأسفا
ففي الناس أبدال وفي الترك راحة... وفي القلب صبر للحبيب ولو جفا
فما كل من تهواه يهواك قلبه... ولا كل من صافيته لك قد صفا
إذا لم يكن صفو الوداد طبعية... فلا خير في خل يجيء تكلفا
ولا خير في خل يخون خليله... ويلقاه من بعد المودة بالجفا
وينكر عيشاً قد تقادم عهده... ويظهر سراً كان بالأمس في خفا
---------------------------------------------------
\\ أروع موقع للإستماع وقراءة القرآن الكريم بلغات عدة وبقراءات عدة //
---------------------------------------------------
Tariq - A Hybrid Port Knocking System
باختصار...هذه المقالة تغطي دراسة هامة جداً قام بهذه الدراسة خبيرا أمن المعلومات جيرميا جروسمان و روبرت هانسن حول ما يعرف بسرقة النقرة و clicclأو clickjacking لأنها تمسّ كلّ من يتعامل مع شبكة الإنترنت وبطريقة غير تقليدية، حيث أنّ الشخص الضحيّة لن يعرف أنه تمّ سرقة حسابه أو معلومات قبل فوات الآوان.
صفحات الإنترنت تعرف أين موقع كنت فيه (وبدون جافا سكريبت)، أين سجّلت دخول، ماذا شاهدت على يوتوب، والآن بإمكانهم رؤيتك وسماعك عبر ما يعرف ب Clickjacking + Adobe Flash. تفاصيل العملية التقنيّة لم يتم الإفصاح عنها بناءاً على طلب شركة Adobe. مسؤولية حلّ هذه المشكلة الأمنية لا تقع على عاتق المزود (شركة Adobe) فقط، بل تقع على عاتق الجميع من مزودي المتصفحات إلى أصحاب المواقع والمستخدمين كلهم لديهم حلولهم الخاصّة والتي تساعد في التقليل من أثر التهديد في حال فشل البعض في تأمين الحماية المطلوبة.
المشكلة في ال Clickjacking هو أنه يجعل من أي حاسوب موصول به ميك و ويب كاميرا جهاز مراقبة عن بعد بشكل مخفي عن صاحب الحاسوب وبنقرة فأرة واحدة. تخيل ماذا يعني هذا الأمر بالنسبة للحكومات (تجسس) والأفراد (لا خصوصية) إلخ...يقوم المهاجم (الهكر السيء) بإرسال بريد إلكتروني إلى الهدف وعندها يتمكن من أخذ صورة مباشرة لهذا الهدف مخترقاً طرق الحماية التقليدية التي تعمد على tokens. الفيديو المرفق يظهر مثال لهذه العملية. ولكن ارسال الإيميل ليس شرطاً للهجوم اعلان موقع ما سوف يؤدي إلى نفس النتيجة وهو ما حصل مع موقع إخباري أمريكي مشهور حيث تفاجأ بعض زواره بفقدنهم السيطرة على بعض البرامج على حسابهم.
الكشف عن هذا التهديد جاء في عرض ل OWASP، حيث وصفها أحد المشاركين بأنها 0-day" (في عالم الهكرز هو الهجوم من خلال استخدام ثغرة لم يتم إغلاقها أو عمل patch لها) وهو يصيب كل متصفحات الانترنت المعروفة باستثناء ما يشبه lynx (برنامج تصفح من خلال سطر الأوامر) ولا علاقة له بالجافا سكريبت بمعنى لو تمّ تعطيل خاصّية الجافا السكريبت إمكانية التأثر بال clickjacking لا تزال قائمة." حسب هانسن تمّت مناقشة الموضوع مع كلٍّ من مايكروسوف و موزيلا وكلتا الشركتين أجمعتا (بشكل منفصل) على أنها مشكلة وصعبة ولا يوجد لها حل بسيط الآن.
جورجي ماوني مطور NoScript (وهي إضافة يمكن تنصيبها على متصفح فايرفوكس) أرسل رسالة إلى موقع zdnet الشهير حول الموضوع وهذا باختصار ما قاله:
"اطلعت على معلومات تفصيليّة حول الثغرة وهي بالفعل مخيفة جدّاً. NoScript بالوضعية الإفتراضية يمكنها التغلب على غالبية سناريوهات الهجوم، لحماية 100% عن طريقة NoScript يجب أن يختار المستخدم خاصية Plugings | Forbid <IFRAME>"
أحد المسؤولين (لمزود يأثر هذا التهديد على منتج شركته) قال بأنه من شبه المستحيل إصلاحها بطريقة سلمية ( من عندي على الأقل في الوقت الحالي).
الفيديو
http://vimeo.com/1912736
مثال توضيحي آخر
http://www.breakingpointsystems.com/...l-clickjacking
الحلّ المؤقت الآن:
1- عطل كل الإضافة ( Plugings ).
2- استخدام فايرفوكس مع NoScript.
كل الموقع مهددة حتى الشهيرة منها ولا تحتاج من المستخدم الضغط على وصلة في بريد إلكتروني فيكفي أن يكون الموقع الشهير يظهر إعلان على إحدى صفحاته ويكون هذا الاعلان من مصدر غير موثوق او تم اختراقه حتى ينجح المهاجم في استخدام الثغرة وبالتالي كن حذراً.
الموضوع خطير ولذلك ارجو من الإخوة الانتباه لهذا الموضوع ونشر المقال (من لديه أفضل فليتفضل مشكوراً) على نطاق واسع.
هناك وعد من شركة Adobe بحلّ الثغرة قبل نهاية الشهر الحالي.
المراجع
1- http://jeremiahgrossman.blogspot.com...-and-hear.html
2- http://blogs.zdnet.com/security/?p=1973
3- http://www.breakingpointsystems.com/...l-clickjacking
4- http://en.wikipedia.org/wiki/Zero_day_attack
5- http://www.thetechherald.com/article...end-of-October
والله من وراء القصد
باحث
الذين يشاهدون الموضوع الآن: 1 (0 من الأعضاء و 1 زائر)
ضوابط المشاركة
رد مع اقتباس
مواقع النشر (المفضلة)