Přejít k navigační liště

Zdroják » Zprávičky » Většina českých a slovenských bank není odolná vůči clickjackingu

Většina českých a slovenských bank není odolná vůči clickjackingu

Zprávičky Různé

O bezpečnostním problému zvaném clickjacking jsme již několikrát psali. Rastislav Turek přezdívaný Synopsi dnes na konferenci Trendy v internetové bezpečnosti sdělil, že většina českých i slovenských bank není vůči clickjackingu odolná. V ČR jsou odolné pouze Komerční banka, Citibank a mBanka, na Slovensku pouze mBanka.

Pomocí clickjackingu můžete uživatele snadno přimět nevědomky kliknout na libovolné místo na libovolné stránce, která se nesnaží bránit proti vložení do iframe. Přikládáme jednoduchou ukázku, na které jsme ponechali slabě vidět reálnou stánku, na kterou uživatel kliká (v tomto případě Zdroják), při jejím úplném ukrytí – viz druhá ukázka – vypadá stránka na první pohled zcela nevinně. Jedná se pouze o jedno z možných použití clickjackingu, kdy jsme vytvořili zcela průhledný iframe a umístili jej přes naši stránku. V reálu se často objevuje opačná situace, kdy je cílová stránka (až na malou oblast, na kterou uživatel klikne) vložena vespod.

ČTĚTE K TÉMATU: Bezpečnost na webu – přehled útoků na webové aplikace

Jak by se mohly banky (a obecně všechny důležité aplikace) před clickjackingem a vložením do iframe bránit pomocí několikařádkového javascriptového kódu, to již necháme za domácí úkol čtenářům.

Komentáře

Odebírat
Upozornit na
guest
2 Komentářů
Nejstarší
Nejnovější Most Voted
Bubák

Nestačil by jednořádkový script? Jedno z mnoha variant:

if (top != self) top.location.replace(document.location)

Problém může být to, že iframe není jediný element, do ktetého lze vložit stránku. Boužel, v MSIE pak mnou uvedený script nefunguje.

Co je nového v Gitu 2.55.0

Git 2.55.0 přináší šest zajímavých novinek – od dlouho očekávané podpory fsmonitoru na Linuxu, přes zjednodušení úprav historie commitů pomocí nového příkazu git history fixup, až po další krok v postupné integraci jazyka Rust do jádra Gitu. Přidává se i možnost pushovat do skupiny vzdálených repozitářů, omezit šířku grafu u git log --graph a zrychlit git grep a git cherry v částečných klonech.

Od statických stránek k edge computingu: Historie webových technologií za 30 let

Třicet let. Tak dlouho už web existuje v podobě, kterou bychom dnes alespoň zhruba poznali — od prvních statických dokumentů přes éru aplikací běžících v prohlížeči až po kód, který se spouští na stovkách míst po celém světě jen pár milisekund od uživatele. Tenhle příběh ale není jen suchým výčtem technologií a verzí. Je to příběh jednoho kyvadla, které se celé tři dekády houpe mezi serverem a klientem — a které právě teď nachází nový bod rovnováhy někde uprostřed, na okraji sítě.