Clickjacking und UI-Redressing – Vom Klick-Betrug zum Datenklau

Clickjacking und UI-Redressing – Vom Klick-Betrug zum Datenklau

by Marcus Niemietz
Released April 2012
Publisher(s): dpunkt
ISBN: 97833898647960

Read it now on the O’Reilly learning platform with a 10-day free trial.

O’Reilly members get unlimited access to books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.

Start your free trial

Book description

  • Security-Themen boomen+ spezielles Thema, aber interessant für die "Security-Szene"+ Insider-Know-how

Table of contents

  1. Cover
  2. Titel
  3. Impressum
  4. Vorwort
  5. Inhaltsverzeichnis
  6. Teil I Einleitung und Grundlagen
    1. 1 Einleitung
    2. 2 Grundlagen
      1. 2.1 Hypertext Transfer Protocol
      2. 2.2 Sprachen
        1. 2.2.1 Hypertext Markup Language
          1. 2.2.1.1 Formulare
          2. 2.2.1.2 Framesets und Frames
          3. 2.2.1.3 Eingebettete Frames
          4. 2.2.1.4 HTML5
          5. 2.2.1.5 Validierung
        2. 2.2.2 Cascading Style Sheets
          1. 2.2.2.1 Anwendungsbeispiel
        3. 2.2.3 JavaScript
          1. 2.2.3.1 Anwendungsbeispiel
          2. 2.2.3.2 Document Object Model
        4. 2.2.4 Extensible Markup Language
          1. 2.2.4.1 Asynchronous JavaScript and XML
          2. 2.2.4.2 Scalable Vector Graphics
      3. 2.3 Anmerkungen und Literaturtipps
  7. Teil II Angriffe und Sicherheitsmechanismen im Webbrowser
    1. 3 Bekannte Angriffe und Schwachstellen
      1. 3.1 Social Engineering und Information Disclosure
      2. 3.2 Logical Flaws
      3. 3.3 Cross-Site Request Forgery
      4. 3.4 Cross-Site Scripting
        1. 3.4.1 Nichtpersistentes XSS
        2. 3.4.2 Persistentes XSS
        3. 3.4.3 DOM-basiertes XSS
      5. 3.5 Session Hijacking
    2. 4 Sicherheitsmechanismen im Webbrowser
      1. 4.1 Same-Origin-Policy
      2. 4.2 HTML5-Angriffe
        1. 4.2.1 Selbstauslösende Event-Handler mit autofocus
        2. 4.2.2 XSS via formaction
      3. 4.3 Opera und SVG
  8. Teil III UI-Redressing und Clickjacking
    1. 5 Einordnung von UI-Redressing und Clickjacking
    2. 6 UI-Redressing - Definition und Angriffe
      1. 6.1 Clickjacking
        1. 6.1.1 Classic-Clickjacking
        2. 6.1.2 Likejacking und Sharejacking
        3. 6.1.3 Ein Mausklick genügt
        4. 6.1.4 Cursorjacking
        5. 6.1.5 Filejacking
        6. 6.1.6 Drag&Drop-Operationen
        7. 6.1.7 Content extraction
        8. 6.1.8 Cookiejacking
        9. 6.1.9 Tabnabbing und Tapjacking
          1. 6.1.9.1 Ausnutzung von window.open
          2. 6.1.9.2 Chrome to Phone fernsteuern
        10. 6.1.10 Kombinationen mit CSRF, XSS und CSS
          1. 6.1.10.1 Der Twitter-Wurm
          2. 6.1.10.2 Eventjacking
          3. 6.1.10.3 Classjacking mit jQuery
          4. 6.1.10.4 Pointer-Events
          5. 6.1.10.5 Whole-page Clickjacking
      2. 6.2 Strokejacking
        1. 6.2.1 Keylogging ohne die Verwendung von Skriptsprachen
      3. 6.3 Pop-up-Blocker umgehen & Event-Recycling
        1. 6.3.1 Double-Clickjacking
      4. 6.4 SVG-Maskierungen
      5. 6.5 Clickjacking Tool
    3. 7 Die Abwehrmaßnahmen: Frame-Busting
      1. 7.1 JavaScript
      2. 7.2 X-Frame-Options
      3. 7.3 Content Security Policy
      4. 7.4 NoScript
    4. 8 Angriffe auf Abwehrmaßnahmen: Busting-Frame-Busting
      1. 8.1 Mobile und nicht mobile Webseiten
      2. 8.2 Doppeltes Framing
      3. 8.3 onBeforeUnload-Event-Handler ausnutzen
        1. 8.3.1 Normales Verhalten
        2. 8.3.2 Der HTTP-Header 204
      4. 8.4 XSS-Filter im IE und Chrome
        1. 8.4.1 Microsoft Internet Explorer
        2. 8.4.2 Google Chrome
      5. 8.5 JavaScript deaktivieren
        1. 8.5.1 Beschränkte Frames im Internet Explorer
        2. 8.5.2 Das sandbox-Attribut
        3. 8.5.3 Der Design-Modus
      6. 8.6 Sicherheitsverletzungen durch das location-Objekt
        1. 8.6.1 Microsoft Internet Explorer
        2. 8.6.2 Apple Safari
      7. 8.7 Ausnahmen beim Referrer benutzen
    5. 9 Das Katz- und Mausspiel
      1. 9.1 Der »ultimative« Frame-Busting-Code
      2. 9.2 Die defineProperty-Funktion
  9. Teil IV Ergänzende Informationen
    1. 10 Statistiken
      1. 10.1 Frame-Buster
      2. 10.2 X-Frame-Options
      3. 10.3 Transparente Frames und Clickjacking-Angriffe
    2. 11 Die häufigsten Irrtümer
      1. 11.1 Clickjacking ist UI-Redressing
      2. 11.2 Clickjacking benötigt JavaScript-Code
      3. 11.3 JavaScript sollte deaktiviert werden
      4. 11.4 X-Frame-Options schützt gegen Clickjacking
      5. 11.5 Browserinterne XSS-Filter schützen den Benutzer
      6. 11.6 Sidejacking gehört zu Clickjacking
    3. 12 Interviews mit bekannten Experten für das Clickjacking
      1. 12.1 Robert Hansen (USA)
        1. 12.1.1 Über die Person
        2. 12.1.2 Interview
      2. 12.2 Jeremiah Grossman (USA)
        1. 12.2.1 Über die Person
        2. 12.2.2 Interview
      3. 12.3 Paul Stone (England)
        1. 12.3.1 Über die Person
        2. 12.3.2 Interview
      4. 12.4 Krzysztof Kotowicz (Polen)
        1. 12.4.1 Über die Person
        2. 12.4.2 Interview
      5. 12.5 Mario Heiderich (Deutschland)
        1. 12.5.1 Über die Person
        2. 12.5.2 Interview
    4. 13 Hinweise für die jeweiligen Leser
      1. 13.1 Browserhersteller
      2. 13.2 Administratoren und Webentwickler
      3. 13.3 Benutzer eines Webbrowsers
    5. 14 Zusammenfassung und Ausblick
  10. Danksagung und Feedback
  11. Referenzen und weiterführende Literatur
  12. Index
  13. Fußnoten
    1. Kapitel 2
    2. Kapitel 3
    3. Kapitel 4
    4. Kapitel 5
    5. Kapitel 6
    6. Kapitel 7
    7. Kapitel 8
    8. Kapitel 9
    9. Kapitel 10
    10. Kapitel 11
    11. Kapitel 13

Product information

  • Title: Clickjacking und UI-Redressing – Vom Klick-Betrug zum Datenklau
  • Author(s): Marcus Niemietz
  • Release date: April 2012
  • Publisher(s): dpunkt
  • ISBN: 97833898647960