Embed Size (px)
Citation preview
1Marcus Niemietz, Internet Security Days 2017 1
One Click to Rule Them All:Warum ein Mausklick Schaden anrichten kann
Marcus NiemietzCEO / Co-Founder
Hackmanit GmbHwww.hackmanit.de
2Marcus Niemietz, Internet Security Days 2017 2
Marcus Niemietz
• Horst Görtz Institute für IT-Sicherheit
• Hackmanit GmbH
• Buch über UI-Redressing
• Sprecher auf Black Hat, BlueHat, PHDays, Zeronights, OWASP, ...
• Twitter: @mniemietz
3Marcus Niemietz, Internet Security Days 2017 3
Mit einem Klick zum Erfolg?
4Marcus Niemietz, Internet Security Days 2017 4
Mit einem Klick zum Erfolg?
4
5Marcus Niemietz, Internet Security Days 2017 5
Pop-Up in Firefox
<script>
window.open(
'http://rub.de', null,
'height=200, width=400');
</script>
6Marcus Niemietz, Internet Security Days 2017 6
Pop-Up in Firefox: Trusted Events
Button A Button B
7Marcus Niemietz, Internet Security Days 2017 7
Pop-Up in Firefox: Script Events
Button A Button BJavaScript
8Marcus Niemietz, Internet Security Days 2017 8
Pop-Up in Firefox: Benutzer / Script
Button A Button BJavaScript
9Marcus Niemietz, Internet Security Days 2017 9
Flooding via Trusted Events
10Marcus Niemietz, Internet Security Days 2017 10
Evaluation von „Pop-Up“-Fenstern
11Marcus Niemietz, Internet Security Days 2017 11
Mehr Klicks, mehr Schaden?
12Marcus Niemietz, Internet Security Days 2017 12
Clickjacking
13Marcus Niemietz, Internet Security Days 2017 13
Clickjacking
14Marcus Niemietz, Internet Security Days 2017 14
Clickjacking
15Marcus Niemietz, Internet Security Days 2017 15
Clickjacking
16Marcus Niemietz, Internet Security Days 2017 16
Clickjacking
17Marcus Niemietz, Internet Security Days 2017 17
Clickjacking
<h1>Funny pictures</h1>
<img src="lol.gif">
<button>Click me</button>
<img src="lol.gif">
<iframe style="position:absolute;
opacity:0.0; filter:alpha(opacity=0);
left:-120px; top:95px;" width="300"
height="200“
src="http://www.bing.com"></iframe>
18Marcus Niemietz, Internet Security Days 2017 18
Drag-and-Drop
19Marcus Niemietz, Internet Security Days 2017 19
OWASP: X-Frame-Options
• Eingeführt von Microsoft in 2008
• Seit Oktober 2013: RFC 7034
• Drei Werte
– DENY
– SAMEORIGIN
– ALLOW-FROM URI
• Example:<?php header ("X-Frame-Options: DENY"); ?>
20Marcus Niemietz, Internet Security Days 2017 20
Cursorjacking
21Marcus Niemietz, Internet Security Days 2017 21
Double Clickjacking
22Marcus Niemietz, Internet Security Days 2017 22
Clickjacking
• Defacto standardisierte Gegenmaßnahmen mildern Angriffe
– Helfen nicht vollständig: es bleibt kompliziert
• Neue Standards und Features verschärfen die Problematik
• Content-Security-Policy ist kein Allheilmittel
23Marcus Niemietz, Internet Security Days 2017 23
Hackmanit GmbH
• Web Security, Single Sign-On, Applied Crypto
• OAuth, OpenID Connect, SAML, SOAP, XML, REST, SSL/TLS
• https://www.hackmanit.de
Penetrationstests
Schulungen
Gutachten
24Marcus Niemietz, Internet Security Days 2017 24
Vielen Dank für Ihre Aufmerksamkeit.Fragen?
