Většina českých a slovenských bank není odolná vůči clickjackingu

Zdroják » Zprávičky » Většina českých a slovenských bank není odolná vůči clickjackingu

Nálepky:

O bezpečnostním problému zvaném clickjacking jsme již několikrát psali. Rastislav Turek přezdívaný Synopsi dnes na konferenci Trendy v internetové bezpečnosti sdělil, že většina českých i slovenských bank není vůči clickjackingu odolná. V ČR jsou odolné pouze Komerční banka, Citibank a mBanka, na Slovensku pouze mBanka.

Pomocí clickjackingu můžete uživatele snadno přimět nevědomky kliknout na libovolné místo na libovolné stránce, která se nesnaží bránit proti vložení do iframe. Přikládáme jednoduchou ukázku, na které jsme ponechali slabě vidět reálnou stánku, na kterou uživatel kliká (v tomto případě Zdroják), při jejím úplném ukrytí – viz druhá ukázka – vypadá stránka na první pohled zcela nevinně. Jedná se pouze o jedno z možných použití clickjackingu, kdy jsme vytvořili zcela průhledný iframe a umístili jej přes naši stránku. V reálu se často objevuje opačná situace, kdy je cílová stránka (až na malou oblast, na kterou uživatel klikne) vložena vespod.

ČTĚTE K TÉMATU: Bezpečnost na webu – přehled útoků na webové aplikace

Jak by se mohly banky (a obecně všechny důležité aplikace) před clickjackingem a vložením do iframe bránit pomocí několikařádkového javascriptového kódu, to již necháme za domácí úkol čtenářům.

Martin Hassman

Martin Hassman založil a řadu let vedl magazín Zdroják, absolvoval VŠCHT Praha, pořádal řadu konferencí, pomáhal s rozšířením otevřených technologií, byl u založení projektů CZilla, Dáme roušky a dalších. Vymyslel a dva roky vedl dobrovolnický projekt Movapp pod Česko.Digital. Nyní pracuje jako produktový manažer v datové platformě Golemio.cz.

Komentáře

Odebírat

2 Komentářů

Nejstarší

Nejnovější Most Voted

Inline Feedbacks

Zobrazit všechny komentáře

Bubák

16 let před

Nestačil by jednořádkový script? Jedno z mnoha variant:

if (top != self) top.location.replace(document.location)

Problém může být to, že iframe není jediný element, do ktetého lze vložit stránku. Boužel, v MSIE pak mnou uvedený script nefunguje.

Odpovědět

Martin Hassman

Autor

16 let před

Dnes jsem narazil na další ukázku clickjackingu. Využívá malý iframe, který posunuje JavaScriptem podle toho, kam uživatel pohybuje myší. http://www.noginn.com/tinyface.html

Odpovědět

Vitest 4.0 – nové vizuální testování, lepší debugging a stabilní Browser Mode

Nová verze Vitest 4.0 posouvá hranice testování webových aplikací. Přináší stabilní běh testů přímo v prohlížeči, podporu vizuálního regresního testování i chytřejší práci s lokátory a typováním. Vývojáři tak získávají robustnější, rychlejší a přehlednější nástroje pro zajištění kvality UI i logiky aplikací.

Docker + Bun + Caddy: mikroslužba za hodinu

Potřebujete rychle spustit malou mikroslužbu bez složité infrastruktury, ruční správy certifikátů a konfigurace Nginxu? V tomto článku si ukážeme, jak pomocí Bun, Caddy a Dockeru jako univerzálního prostředí vytvořit a nasadit plnohodnotnou mikroslužbu během jedné hodiny.

AI pro vývojáře: jak využít LLM v běžném workflow

AI už dávno není jen nástroj na doplňování kódu. Pomáhá psát testy, hledat chyby a vysvětlovat cizí kód. Stejně rychle ale dokáže i zbrzdit, pokud nerozumí kontextu. Vývojář dnes musí umět s AI mluvit, přesně ji vést a výsledky ověřovat – ne slepě přebírat.

Většina českých a slovenských bank není odolná vůči clickjackingu

Nálepky:

Martin Hassman

Komentáře

Vitest 4.0 – nové vizuální testování, lepší debugging a stabilní Browser Mode

Docker + Bun + Caddy: mikroslužba za hodinu

AI pro vývojáře: jak využít LLM v běžném workflow

Sledujte Zdroják:

Hádej co? Cookies!