Sebuah kerentanan Clickjacking ada di LinkedIn yang memungkinkan penyerang untuk mengelabui pengguna untuk berbagi dan posting link atas nama korban.
Narendra Bhati (r00t Sh3ll), Analis Keamanan di Cyber oktet memberitahu kami tentang LinkedIn Bug. Clickjacking, juga disebut sebagai "User Interface ganti rugi serangan" adalah salah satu jenis website teknik hacker mana serangan trik pengguna web untuk mengklik sebuah tombol, link atau gambar, dll yang pengguna web tidak berniat untuk mengklik, biasanya dengan overlay halaman web dengan iframe.
Cacat memungkinkan penyerang untuk membuka halaman LinkedIn https://www.linkedin.com/shareArticle? , Digunakan untuk berbagi link dan artikel ringkasan, dalam iframe tersembunyi.
Bukti Konsep:
. 1) Semi Transparan iframe Layers:
. 2) Sepenuhnya diaktifkan halaman dengan nol Transparan iframe:
Video Demonstrasi:
Banyak penanggulangan telah dijelaskan bahwa pengguna web membantu melindungi terhadap clickjacking serangan. X-FRAME-OPTIONS adalah metode pertahanan berbasis browser. Dalam rangka untuk membawa perlindungan X-FRAME-OPTIONS berlaku, LinkedIn harus mengirim header HTTP bernama X-FRAME-OPTIONS pada respon HTML.
0komentar:
Post a Comment