[Nhóm#07] - Lỗi Phi chức năng - Lỗi không chống mã clickjacking - Trang https://khdtkt.ueh.edu.vn/

[31211027599]

a. Web browser: Chrome/ version: 114.0.0.0 b. Các bước phát hiện lỗi: i. #1: Tạo 1 notepad có tiêu đề như hình dưới và đuôi được gán là .html

ii. #2: Save file đó rồi chạy file đó:

c. Kết quả thực tế: Có thể thay đổi kích thước của trang dựa vào dòng lệnh trên d. Kết quả mong muốn: Có mã chống clickjacking (ví dụ như sử dụng Header HTTP Frame Options)

[31211027598]

@31211027599 Clickjacking là một hình thức tấn công đánh lừa người dùng nhấp chuột vô ý vào một đối tượng trên website. Khi nhấp chuột vào một đối tượng trên màn hình, người dùng nghĩ là mình đang click vào đối tượng đó nhưng thực chất họ đang bị lừa click vào một đối tượng khác > đã bị làm mờ hay ẩn đi. Kẻ tấn công có thể sử dụng kỹ thuật tấn công này cho nhiều mục đích. Đánh cắp tài khoản người dùng, lừa click vào quảng cáo để kiếm tiền, lừa like page hoặc nguy hiểm hơn là cài một webshell lên máy chủ web.

Ở đây bạn chỉ tạo 1 mục HTML thêm thẻ iframe và nhúng link của trang https://khdtkt.ueh.edu.vn/ vào và đặt chiều dài và chiều rộng chứa trang đó. Kết quả tất nhiên sẽ hiện lên đúng như những gì bạn đã code. Và không liên quan đến Clickjacking. Nên đây không phải là lỗi.