Clickjacking: Die unsichtbare Gefahr

In diesem VideoTutorial wird Ihnen das zugrundeliegende Prinzip des sog. Clickjacking erläutert, einer Angriffsmöglichkeit der Ihr Browser wahrscheinlich schutzlos ausgeliefert ist.

http://www.sempervideo.de/clickjacking




25 Kommentare zu “Clickjacking: Die unsichtbare Gefahr”

  1. Ich habe mal die Seite makiert.. da sieht man oben links in der Ecke eine
    Stelle an der nichts makiert ist. Und wenn man mit der Maus darauf zeigt
    kommt man auf die YouTube Seite .

  2. Es kommt jetzt drauf an wie du “mit Programmieren zu tun haben” definierst.
    Wenn es dir um Webserver geht, dann HTML/CSS/PHP. Wenn es dir aber um
    Programme geht, dann kann ich Java (nicht zu verwechseln mit JavaScript)
    empfehlen.

  3. Bei der Demonstration gibts zwei Möglichkeiten:ClickJacking oder eine PHP
    auf SemperVideo.ClickJacking Möglichkeit: eine onclick, ein href im a. Der
    href ist der Fake, aber onclick kommt VOR href. Macht google so.

  4. bei firefox kann ich mit mausrad auch die eigentliche seite (in nem neuen
    tab) aufrufen. ka obs mit den anderen browsern auch so funktioniert weil ja
    jeder browser das ganze etwas anderst interpretiert

  5. @Enlawen Schlimm genug, wenn man sich damit auskennt. Das mit dem
    Pop-Up-Blocker hatte ich zunächst nicht bedacht, ist mir aber dann selbst
    bewusst geworden. In diesem Beispiel jedoch würde eine simple Weiterleitung
    funktionieren, da sie im selben Fenster stattfinden würde. Das ganze System
    dieser Werbung ist völlig daneben. Die meisten Nutzer gehen nicht wirklich
    drauf ein. Ich kann mir nicht vorstellen, dass es sich auszahlt.

  6. Ich will mal anmerken, dass das hier nur 0,1% der Möglichkeiten mit
    Clickjacking darstellt. Man könnte mit Clickjacking z.b. auch erreichen,
    dass ihr einen ganz bestimmten Status setzt oder einen ganz bestimmten
    Kommentar abgebt. Evtl kann man sogar über euren Account etwas bestellen
    etc. Clickjacking ist verdammt effektiv, wenn man sich damit auskennt. ;)

  7. @Hackslashs0r mag sein, aber wenn man das bei z.B. YT verstecken würde,
    müsstest du YT Javascrippt erlauben un dann hast du gar nichts davon.
    Traurig, aber war. :(

  8. Interessant finde ich das eure Seite auch Google Analytic drin hat. Ihr
    wollt wohl genau wissen wer die Seite benutzt. KA ob GA geht bei Do not
    Track eingeschalten. Oder im Chrome muss ich GA.js bestätigen, anders wird
    der Script nicht geladen. Das Clickjacking funktioniert trotzdem, da die
    Scripte bei Sempervideo und Youtube auf einer Whitelist stehen. Anders
    wären die Seiten nicht benutzbar. Aber das springt ja auch WOT nicht an.
    Also seit ihr sauber so weit ich das beurteilen kann.

Schreibe einen Kommentar