SORU
6 HAZİRAN 2009, CUMARTESİ


Çerçeve Buster Buster buster kodu gerekli

Bakalım diğer siteler istemediğini söylemek için "kare" bir site <iframe>:

<iframe src="http://example.org"></iframe>

Sen Ekle anti-çerçeve, çerçeve tüm sayfaları JavaScript AVI:

/* break us out of any containing iframes */
if (top != self) { top.location.replace(self.location.href); }

Mükemmel! Şimdi "baskın" ya da patlak herhangi birini içeren otomatik olarak iframe. Küçük bir sorun dışında.

Çıkıyor gibiçerçeve bozan kod bozulmuş olabilir, 13**:

<script type="text/javascript">
    var prevent_bust = 0  
    window.onbeforeunload = function() { prevent_bust   }  
    setInterval(function() {  
      if (prevent_bust > 0) {  
        prevent_bust -= 2  
        window.top.location = 'http://example.org/page-which-responds-with-204'  
      }  
    }, 1)  
</script>

Bu kodu aşağıdakileri yapar:

  • bir sayacı artırır tarayıcı geçerli sayfanın dışında gerçekten gezinmek için çalışır her zaman, window.onbeforeunload olay işleyicisi ile
  • setInterval() üzerinden her milisaniyede harekete bir zamanlayıcı ayarlar ve eğer karşı artan görürse, saldırganın kontrol sunucusu için geçerli konum değiştirir
  • bu sunucu HTTP durum kodu ile ilgili bir sayfa kadar hizmet vermektedir204tarayıcı herhangi bir yere gitmek için neden olur.,

Benim sorum şu bir gerçek daha JavaScript bir bulmaca dahasorunnasıl çerçeve bozan buster yenilgi olabilir?

Birkaç düşünce vardı, ama hiçbir şey benim test çalıştı:

  • onbeforeunload = null üzerinden onbeforeunload olayı temizlemek için çalışırken hiçbir etkisi olmadı
  • alert() işlemi durdu bir ekleme kullanıcı neler olduğunu bildirin, ama herhangi bir şekilde kod müdahale etmedi; OK tıklandığında AVI normal olarak devam etmesini sağlar
  • setInterval() zamanlayıcı temizlemek için herhangi bir yol düşünemiyorum

JavaScript bir programcı sayılmam, işte size verdiğim mücadele:buster, büst mısın çerçeve bozan buster mı?

CEVAP
19 Mart 2010, Cuma


FWIW, en güncel tarayıcılar script devre dışı olsa bile çalışır 14* *X-Frame-Options: deny Yönerge.

IE8:
http://blogs.msdn.com/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspx

Firefox (3.6.9)
https://bugzilla.mozilla.org/show_bug.cgi?id=475530
https://developer.mozilla.org/en/The_X-FRAME-OPTIONS_response_header

/Y Krom
http://blog.chromium.org/2010/01/security-in-depth-new-security-features.html
http://trac.webkit.org/changeset/42333

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

YORUMLAR

SPONSOR VİDEO

Rastgele Yazarlar

  • DeAdPiXel6667

    DeAdPiXel666

    2 Ocak 2010
  • ImBluecams

    ImBluecams

    25 Kasım 2012
  • RaverX DouBle StAg XI

    RaverX DouBl

    23 Mayıs 2008