In diesem VideoTutorial wird Ihnen das zugrundeliegende Prinzip des sog. Clickjacking erläutert, einer Angriffsmöglichkeit der Ihr Browser wahrscheinlich schutzlos ausgeliefert ist.
http://www.sempervideo.de/clickjacking
Clickjacking: Die unsichtbare Gefahr
Ich habe mal die Seite makiert.. da sieht man oben links in der Ecke eine
Stelle an der nichts makiert ist. Und wenn man mit der Maus darauf zeigt
kommt man auf die YouTube Seite .
Es kommt jetzt drauf an wie du “mit Programmieren zu tun haben” definierst.
Wenn es dir um Webserver geht, dann HTML/CSS/PHP. Wenn es dir aber um
Programme geht, dann kann ich Java (nicht zu verwechseln mit JavaScript)
empfehlen.
sachen gibts o.O
ubbuuuuuuntuuuuuu <3
Bei der Demonstration gibts zwei Möglichkeiten:ClickJacking oder eine PHP
auf SemperVideo.ClickJacking Möglichkeit: eine onclick, ein href im a. Der
href ist der Fake, aber onclick kommt VOR href. Macht google so.
Wenn man die ganze Seite markiert, sieht man den Layer auch..
was ist denn daran so toll das er zwischen zwei V’s wechselt?
soso es waren also nur die Kollegen auf den Porn-Sites beim “recherchieren”
;) Danke für das Video!! :)
mit dem wissen, dass da ein clickjacking ist, kann mans einfach durch
schnelle mausbewegung alles umgehen^^ Nur dass man das leider nicht weiss D:
Hab’s gerade mit dem iPad ausprobiert, es scheint immun gegen diese
Variante zu sein
…wenn man schnell genug über den Link fährt und dann klickt, geht das
auch ;)
bei firefox kann ich mit mausrad auch die eigentliche seite (in nem neuen
tab) aufrufen. ka obs mit den anderen browsern auch so funktioniert weil ja
jeder browser das ganze etwas anderst interpretiert
tja bei mir hat es nicht funktioniert :-) dank NOSKRIPT
SemperPorn :D
@Enlawen Schlimm genug, wenn man sich damit auskennt. Das mit dem
Pop-Up-Blocker hatte ich zunächst nicht bedacht, ist mir aber dann selbst
bewusst geworden. In diesem Beispiel jedoch würde eine simple Weiterleitung
funktionieren, da sie im selben Fenster stattfinden würde. Das ganze System
dieser Werbung ist völlig daneben. Die meisten Nutzer gehen nicht wirklich
drauf ein. Ich kann mir nicht vorstellen, dass es sich auszahlt.
@enginowich das add on hab ich seit ewigkeiten ,)
2:55 mouseX
Wenn man Javascript allerdings nicht aktiviert hat, funktioniert das ganze
nicht, oder?
Ich will mal anmerken, dass das hier nur 0,1% der Möglichkeiten mit
Clickjacking darstellt. Man könnte mit Clickjacking z.b. auch erreichen,
dass ihr einen ganz bestimmten Status setzt oder einen ganz bestimmten
Kommentar abgebt. Evtl kann man sogar über euren Account etwas bestellen
etc. Clickjacking ist verdammt effektiv, wenn man sich damit auskennt. ;)
selbst google nutzt clickjacking um die klicks für eine seite zu zählen ;)
@Hackslashs0r mag sein, aber wenn man das bei z.B. YT verstecken würde,
müsstest du YT Javascrippt erlauben un dann hast du gar nichts davon.
Traurig, aber war. :(
Interessant finde ich das eure Seite auch Google Analytic drin hat. Ihr
wollt wohl genau wissen wer die Seite benutzt. KA ob GA geht bei Do not
Track eingeschalten. Oder im Chrome muss ich GA.js bestätigen, anders wird
der Script nicht geladen. Das Clickjacking funktioniert trotzdem, da die
Scripte bei Sempervideo und Youtube auf einer Whitelist stehen. Anders
wären die Seiten nicht benutzbar. Aber das springt ja auch WOT nicht an.
Also seit ihr sauber so weit ich das beurteilen kann.
wieso nicht gleich die umleitung mit location.href im onclick event des a
tags? funktioniert das nicht?
@PaT07M Alles klar :) Danke :)
Das Video wird bloß in meiner Abobox angezeigt, aber nicht auf dem
Sempervideo Channel angezeigt o.o