Faille pour Gmail: détournement de clics


AccueilPortailGalerieFAQS'enregistrerConnexion


Faille pour Gmail: détournement de clics

Voir le sujet précédent Voir le sujet suivant Aller en bas
Auteur Message
thewhale
Moderateur/rice
Moderateur/rice
avatar

Masculin
Nombre de messages : 16670
Age : 54
Message Perso :

Date d'inscription : 29/09/2006

MessageSujet: Faille pour Gmail: détournement de clics Mer 3 Déc - 2:12
A l´occasion de la derniere conférence Blue hat de Microsoft qui a eut lieue du 16 au 17 Octobre dernier Gareth Heyes et deux amis à lui ont démontré l´impact des attaques css sur le navigateur.

Cette fois ci , css signifie bel et bien cascade style sheet. Cette attaque est appelée clickjacking (détournement de clics) permet de détourné un bouton situé sur un site ciblé en l'appelant sur son serveur et le dissimulant derriere une autre page dite "ghost page " (page fantôme). Le 21 Octobre la preuve de concept concernant le clickjacking gmail a été publiée sur le blog d'un des 3 informaticiens. "Cette attaque a été reportée à l'équipe chargé de la securité chez Google ce 27 septembre, et la réponse a été que la faille ne sera pas corrigée (...)".

Zoom sur la technique

Cette technique utilise du CSS (overlay) pour pouvoir placer le bouton malicieux n'importe ou sur la page malicieuse. Une fois le bouton de la page fantome dissimulée en arriere plan dans une iframe , la page en premier plan utilise une position absolue(absolute positioning) pour cacher le bouton importé de gmail, le contenu graphique de la page peut etre de n'importe quel nature.

Que faire pour palier cet attaque ?

La solution provisoire est d'utiliser le plugin firefox noscript pour filtré les balises iframe malicieuses.
_________________
Revenir en haut Aller en bas
http://www.valange-design.com/
cristal
Graphiste
Graphiste
avatar

Masculin
Nombre de messages : 8125
Age : 26
Localisation : France
Humeur : Toujours Bonne !
Message Perso : Les Bleus
vive plus longtemps
Les Bleus
sente le printemps
Les Bleus
Ressorte toujours gagnant !
Vive les Bleus !
Ps:Les Rouges sont nuls (^^)
Date d'inscription : 22/09/2008

MessageSujet: Re: Faille pour Gmail: détournement de clics Mer 3 Déc - 13:53
WoW merci Papy c'est quand même inquiétant
Revenir en haut Aller en bas
http://www.valange-design.com/
Luke
Maître posteur
Maître posteur
avatar

Masculin
Nombre de messages : 6186
Age : 24
Date d'inscription : 29/03/2006

MessageSujet: Re: Faille pour Gmail: détournement de clics Mer 3 Déc - 15:13
Merci de l'info Papy !

Et pour le pluging NoScript c'est par là !
Revenir en haut Aller en bas
cristal
Graphiste
Graphiste
avatar

Masculin
Nombre de messages : 8125
Age : 26
Localisation : France
Humeur : Toujours Bonne !
Message Perso : Les Bleus
vive plus longtemps
Les Bleus
sente le printemps
Les Bleus
Ressorte toujours gagnant !
Vive les Bleus !
Ps:Les Rouges sont nuls (^^)
Date d'inscription : 22/09/2008

MessageSujet: Re: Faille pour Gmail: détournement de clics Mer 3 Déc - 15:56
Merci Lucas mais il interdit votre Header flash !
Revenir en haut Aller en bas
http://www.valange-design.com/
djtiti||tiignon
Accro du fofo
Accro du fofo
avatar

Masculin
Nombre de messages : 1741
Age : 25
Localisation : Près de toi ... si si cherche bien ;)
Message Perso :
Date d'inscription : 02/09/2007

MessageSujet: Re: Faille pour Gmail: détournement de clics Mer 3 Déc - 16:22
abah ca veut que les gens cache une page derrière une autre ? O_o
Revenir en haut Aller en bas
http://dj-star-graph.forumpro.fr
Darkside76
Membre super actif
Membre super actif
avatar

Masculin
Nombre de messages : 567
Age : 30
Localisation : France
Humeur : Saignante
Message Perso : <embed src="http://sd-1.archive-host.com/membres/up/512645669/Cranebal.swf" width="175" height="200" wmode="transparent"></embed>
Date d'inscription : 20/10/2007

MessageSujet: Re: Faille pour Gmail: détournement de clics Mer 3 Déc - 18:27
cristal a écrit:
Merci Lucas mais il interdit votre Header flash !

Il suffit de lui dire de l'accepter (^^) le petit S en, bas à droite est fait pour ça. Je confirme que ça marche bien contre le clickjacking, j'ai déjà eu une alerte là dessus bien que ce n'était pas méchant (sur mégaupload)
Revenir en haut Aller en bas
http://www.perdu.com/
thewhale
Moderateur/rice
Moderateur/rice
avatar

Masculin
Nombre de messages : 16670
Age : 54
Message Perso :

Date d'inscription : 29/09/2006

MessageSujet: Re: Faille pour Gmail: détournement de clics Mer 3 Déc - 19:39
merci lucas moi j'ai autoriser toute la page car comment savoir les quels autoriser ???
_________________
Revenir en haut Aller en bas
http://www.valange-design.com/
Contenu sponsorisé




MessageSujet: Re: Faille pour Gmail: détournement de clics
Revenir en haut Aller en bas

Faille pour Gmail: détournement de clics

Voir le sujet précédent Voir le sujet suivant Revenir en haut
Page 1 sur 1

Upload tes images

Merci de bien vouloir respecter les règles suivante : Générales | Présentations | Commandes | Faq .

Permission de ce forum: Vous ne pouvez pas répondre aux sujets dans ce forum
Valange-Design © :: < Communauté | Discussions | Divers > :: Actualités & infos :: Culture -
Bookmark and Share