thewhale
Moderateur/rice
Nombre de messages : 16670
Age : 61
Message Perso :
Date d'inscription : 29/09/2006
|
Sujet: Faille pour Gmail: détournement de clics Mer 3 Déc - 2:12 |
|
A l´occasion de la derniere conférence Blue hat de Microsoft qui a eut lieue du 16 au 17 Octobre dernier Gareth Heyes et deux amis à lui ont démontré l´impact des attaques css sur le navigateur.
Cette fois ci , css signifie bel et bien cascade style sheet. Cette attaque est appelée clickjacking (détournement de clics) permet de détourné un bouton situé sur un site ciblé en l'appelant sur son serveur et le dissimulant derriere une autre page dite "ghost page " (page fantôme). Le 21 Octobre la preuve de concept concernant le clickjacking gmail a été publiée sur le blog d'un des 3 informaticiens. "Cette attaque a été reportée à l'équipe chargé de la securité chez Google ce 27 septembre, et la réponse a été que la faille ne sera pas corrigée (...)".
Zoom sur la technique
Cette technique utilise du CSS (overlay) pour pouvoir placer le bouton malicieux n'importe ou sur la page malicieuse. Une fois le bouton de la page fantome dissimulée en arriere plan dans une iframe , la page en premier plan utilise une position absolue(absolute positioning) pour cacher le bouton importé de gmail, le contenu graphique de la page peut etre de n'importe quel nature.
Que faire pour palier cet attaque ?
La solution provisoire est d'utiliser le plugin firefox noscript pour filtré les balises iframe malicieuses.
|
|
cristal
Graphiste
Nombre de messages : 8127
Age : 33
Localisation : France
Humeur : Toujours Bonne !
Message Perso : Les Bleus
vive plus longtemps
Les Bleus
sente le printemps
Les Bleus
Ressorte toujours gagnant !
Vive les Bleus !
Ps:Les Rouges sont nuls
Date d'inscription : 22/09/2008
|
Sujet: Re: Faille pour Gmail: détournement de clics Mer 3 Déc - 13:53 |
|
WoW merci Papy c'est quand même inquiétant
|
|
Luke
Maître posteur
Nombre de messages : 6186
Age : 30
Date d'inscription : 29/03/2006
|
Sujet: Re: Faille pour Gmail: détournement de clics Mer 3 Déc - 15:13 |
|
Merci de l'info Papy !
Et pour le pluging NoScript c'est par là !
|
|
cristal
Graphiste
Nombre de messages : 8127
Age : 33
Localisation : France
Humeur : Toujours Bonne !
Message Perso : Les Bleus
vive plus longtemps
Les Bleus
sente le printemps
Les Bleus
Ressorte toujours gagnant !
Vive les Bleus !
Ps:Les Rouges sont nuls
Date d'inscription : 22/09/2008
|
Sujet: Re: Faille pour Gmail: détournement de clics Mer 3 Déc - 15:56 |
|
Merci Lucas mais il interdit votre Header flash !
|
|
djtiti||tiignon
Accro du fofo
Nombre de messages : 1741
Age : 31
Localisation : Près de toi ... si si cherche bien ;)
Message Perso :
Date d'inscription : 02/09/2007
|
Sujet: Re: Faille pour Gmail: détournement de clics Mer 3 Déc - 16:22 |
|
abah ca veut que les gens cache une page derrière une autre ? O_o
|
|
Darkside76
Membre super actif
Nombre de messages : 567
Age : 37
Localisation : France
Humeur : Saignante
Message Perso : <embed src="https://sd-1.archive-host.com/membres/up/512645669/Cranebal.swf" width="175" height="200" wmode="transparent"></embed>
Date d'inscription : 20/10/2007
|
Sujet: Re: Faille pour Gmail: détournement de clics Mer 3 Déc - 18:27 |
|
- cristal a écrit:
- Merci Lucas mais il interdit votre Header flash !
Il suffit de lui dire de l'accepter le petit S en, bas à droite est fait pour ça. Je confirme que ça marche bien contre le clickjacking, j'ai déjà eu une alerte là dessus bien que ce n'était pas méchant (sur mégaupload)
|
|
thewhale
Moderateur/rice
Nombre de messages : 16670
Age : 61
Message Perso :
Date d'inscription : 29/09/2006
|
Sujet: Re: Faille pour Gmail: détournement de clics Mer 3 Déc - 19:39 |
|
merci lucas moi j'ai autoriser toute la page car comment savoir les quels autoriser ???
|
|
Contenu sponsorisé
|
Sujet: Re: Faille pour Gmail: détournement de clics |
|
|
|