clickjacking/framing vulnerability

Thema wurde von Don Alfredo, 27. Oktober 2020 erstellt.

  1. Don Alfredo

    Don Alfredo Erfahrener Benutzer

    Registriert seit:
    27. Januar 2012
    Beiträge:
    270
    Danke erhalten:
    5
    Danke vergeben:
    111
    Guten Abend,
    habe eine e-mail mit dem Hinweis I have found a bug in your website bekommen.
    Bug type : UI Redressing
    Impact : Phishing (account compromise)

    Es wird da in einen link gezeigt wie meine Webseite angreifbar ist.
    http://lookout.net/test/clickjack.html

    Für den Tipp wird eine Belohnung verlangt.
    Gibt es da eine Lösung dafür ?
     
  2. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.310
    Danke vergeben:
    2.208
    Das geht mit den meisten Webseiten und ist keine besonders harte Bedrohung, weil sich eine Manipulation da nur sehr schwer für Nutzer verstecken lässt. Mein Rat wäre zahl keine Belohnung, das ist eher niedriges Niveau. Es ist normal auch kaum lohnend das hart abzustellen, wenn du das aber willst, tuts das hier in der htaccess normalerweise:

    Header set X-FRAME-OPTIONS: SAMEORIGIN
     
  3. Don Alfredo

    Don Alfredo Erfahrener Benutzer

    Registriert seit:
    27. Januar 2012
    Beiträge:
    270
    Danke erhalten:
    5
    Danke vergeben:
    111
    Hallo Wilken,
    Danke. Top Service !!!!! Habe die Änderung in der htaccess gemacht.
    Gibt es dadurch irgendwelche Einschränkungen ?
     
  4. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.310
    Danke vergeben:
    2.208
    Jein. Das verbietet Sachen aus deinem Shop woanders einzubetten. Stell dir zum Beispiel vor du listest auf ebay, benutzt dort Bilder aus deinem Shop verlinkt, dann laden die danach auf ebay nicht mehr...