در این بخش از مجموعه آشنایی با متدولوژی Burp Suite به بخش سیزدهم از این متدولوژی به شناسایی آسیب پذیری Clickjacking با استفاده از ابزار Burp می پردازیم.
آشنایی با Clickjacking
Clickjacking تکنیکی است که در آن مهاجم از چندین لایه شفاف یا مات استفاده می کند تا کاربر را فریب دهد تا روی یک دکمه یا پیوند در صفحه دیگری کلیک کند. بنابراین، مهاجم کلیکهای مربوط به صفحه را «ربایش» میکند و آنها را به صفحه دیگری هدایت میکند که به احتمال زیاد متعلق به یک برنامه، دامنه یا هر دو است.
ابزار Clickbandit در Burp Suite
ایجاد PoC یا Proof of Concept برای Clickjacking بسیار زمان بر می باشد. با این حال، میتوانید از Burp Clickbandit، یک ابزار point-and-click برای ایجاد حملات Clickjacking است به منظور تسریع فرآیند اثبات آسیبپذیری استفاده کنید.
هنگامی که یک صفحه وب را پیدا کردید که ممکن است در برابر Clickjacking آسیب پذیر باشد، میتوانید از Burp Clickbandit برای ایجاد سریع یک حمله استفاده کنید تا ثابت کنید که آسیبپذیری میتواند با موفقیت مورد سوء استفاده قرار گیرد.
Detecting Frameable Response (Potential Clickjacking)
اگر هدر HTTP X-Frame-Options یا Content-Security-Policy در یک صفحه تنظیم نشده و یا به درستی تنظیم نشده باشد، ممکن است صفحه ای که توسط مهاجم کنترل میشود آن را در یک iframe اصطلاحاً Load کند.
این ممکن است یک حمله Clickjacking را فعال کند که در آن صفحه، مهاجم رابط برنامه هدف را با یک رابط متفاوت ارائه شده توسط خود پوشش می دهد.
Burp Scanner به طور غیر فعال این نقص امنیتی بالقوه را بررسی می کند. اگر برنامهای که آزمایش میکنید به طور بالقوه در معرض Clickjacking باشد، یک مشکل اطلاعاتی در Target site map گزارش میشود.
Clickjacking POC: Burp Clickbandit
Burp Clickbandit در مرورگر شما با استفاده از جاوا اسکریپت اجرا میشود. این برنامه در تمام مرورگرهای مدرن به جز اینترنت اکسپلورر و مایکروسافت Edge کار میکند. برای اجرای Clickbandit از مراحل زیر استفاده کنید.
در ابزار Burp Suite، به منوی Burp بروید و “Burp Clickbandit” را انتخاب کنید.
در پنجره باز شده بر روی دکمه “Copy Clickbandit to Clipboard” کلیک کنید. با این کار اسکریپت Clickbandit در کلیپ بورد شما کپی میشود.
در مرورگر خود، به روش معمول از صفحه وبی که می خواهید آن را بررسی کنید، بازدید نمایید.
در مرورگر خود، کنسول توسعه دهنده وب را باز کنید. این ممکن است “developer tools” یا “JavaScript console” نیز نامیده شود. این ابزار در مرورگر فایرفاکس و گوگل کروم در منوی مرورگر و بخش More Tools قابل مشاهده میباشد.
اسکریپت Clickbandit را در کنسول توسعهدهنده وب قرار دهید و Enter را فشار دهید.
بنر Burp Clickbandit در بالای پنجره مرورگر ظاهر میشود و صفحه اصلی در یک فریم Reload میشود و آماده برای انجام حمله است.
توجه: اگر میخواهید از اجرای اقداماتی که کلیکهای شما در حین ضبط انجام میشود جلوگیری کنید، از کادر چک “disable click actions” استفاده کنید.
سپس به سادگی دنباله کلیکهایی را که میخواهید قربانی شما انجام دهد، اجرا کنید.
در این مثال، ما یک حساب کاربری را حذف میکنیم. بدین منظور بر روی دکمه حذف کلیک نموده و سپس روی “OK” در کادر پاپ آپ کلیک میکنیم.
پس از اتمام ضبط، روی دکمه “Finish” کلیک کنید. سپس حمله شما را برای بررسی نمایش داده میشود.
در این نما میتوانید فاکتور بزرگنمایی را با استفاده از دکمه های مثبت و منفی تنظیم کنید، شفافیت را تغییر دهید که به شما امکان میدهد سایت را در زیر دکمه مشاهده کنید و همچنین موقعیت iframe را با استفاده از کلیدهای جهت دار تغییر دهید.
Reset به شما امکان میدهد حمله اصلی را با حذف هرگونه تغییری که ممکن است در فاکتور یا موقعیت بزرگنمایی انجام داده باشید، بازیابی کنید.
بر روی دکمه “Save” کلیک کنید تا Proof of Concept خود را دانلود نموده و آن را به صورت محلی ذخیره کنید.
هنگامی که حمله Clickjacking کامل شد (پس از اینکه قربانی آخرین پیوند را کلیک کرد) پیام “you’ve been clickjacked” ظاهر میشود.
شما میتوانید این پیام را در کد مطابق با نیاز خود تغییر دهید.