O'Reilly logo

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

Clickjacking und UI-Redressing – Vom Klick-Betrug zum Datenklau

Book Description

  • Security-Themen boomen+ spezielles Thema, aber interessant für die "Security-Szene"+ Insider-Know-how

Table of Contents

  1. Cover
  2. Titel
  3. Impressum
  4. Vorwort
  5. Inhaltsverzeichnis
  6. Teil I Einleitung und Grundlagen
    1. 1 Einleitung
    2. 2 Grundlagen
      1. 2.1 Hypertext Transfer Protocol
      2. 2.2 Sprachen
        1. 2.2.1 Hypertext Markup Language
          1. 2.2.1.1 Formulare
          2. 2.2.1.2 Framesets und Frames
          3. 2.2.1.3 Eingebettete Frames
          4. 2.2.1.4 HTML5
          5. 2.2.1.5 Validierung
        2. 2.2.2 Cascading Style Sheets
          1. 2.2.2.1 Anwendungsbeispiel
        3. 2.2.3 JavaScript
          1. 2.2.3.1 Anwendungsbeispiel
          2. 2.2.3.2 Document Object Model
        4. 2.2.4 Extensible Markup Language
          1. 2.2.4.1 Asynchronous JavaScript and XML
          2. 2.2.4.2 Scalable Vector Graphics
      3. 2.3 Anmerkungen und Literaturtipps
  7. Teil II Angriffe und Sicherheitsmechanismen im Webbrowser
    1. 3 Bekannte Angriffe und Schwachstellen
      1. 3.1 Social Engineering und Information Disclosure
      2. 3.2 Logical Flaws
      3. 3.3 Cross-Site Request Forgery
      4. 3.4 Cross-Site Scripting
        1. 3.4.1 Nichtpersistentes XSS
        2. 3.4.2 Persistentes XSS
        3. 3.4.3 DOM-basiertes XSS
      5. 3.5 Session Hijacking
    2. 4 Sicherheitsmechanismen im Webbrowser
      1. 4.1 Same-Origin-Policy
      2. 4.2 HTML5-Angriffe
        1. 4.2.1 Selbstauslösende Event-Handler mit autofocus
        2. 4.2.2 XSS via formaction
      3. 4.3 Opera und SVG
  8. Teil III UI-Redressing und Clickjacking
    1. 5 Einordnung von UI-Redressing und Clickjacking
    2. 6 UI-Redressing - Definition und Angriffe
      1. 6.1 Clickjacking
        1. 6.1.1 Classic-Clickjacking
        2. 6.1.2 Likejacking und Sharejacking
        3. 6.1.3 Ein Mausklick genügt
        4. 6.1.4 Cursorjacking
        5. 6.1.5 Filejacking
        6. 6.1.6 Drag&Drop-Operationen
        7. 6.1.7 Content extraction
        8. 6.1.8 Cookiejacking
        9. 6.1.9 Tabnabbing und Tapjacking
          1. 6.1.9.1 Ausnutzung von window.open
          2. 6.1.9.2 Chrome to Phone fernsteuern
        10. 6.1.10 Kombinationen mit CSRF, XSS und CSS
          1. 6.1.10.1 Der Twitter-Wurm
          2. 6.1.10.2 Eventjacking
          3. 6.1.10.3 Classjacking mit jQuery
          4. 6.1.10.4 Pointer-Events
          5. 6.1.10.5 Whole-page Clickjacking
      2. 6.2 Strokejacking
        1. 6.2.1 Keylogging ohne die Verwendung von Skriptsprachen
      3. 6.3 Pop-up-Blocker umgehen & Event-Recycling
        1. 6.3.1 Double-Clickjacking
      4. 6.4 SVG-Maskierungen
      5. 6.5 Clickjacking Tool
    3. 7 Die Abwehrmaßnahmen: Frame-Busting
      1. 7.1 JavaScript
      2. 7.2 X-Frame-Options
      3. 7.3 Content Security Policy
      4. 7.4 NoScript
    4. 8 Angriffe auf Abwehrmaßnahmen: Busting-Frame-Busting
      1. 8.1 Mobile und nicht mobile Webseiten
      2. 8.2 Doppeltes Framing
      3. 8.3 onBeforeUnload-Event-Handler ausnutzen
        1. 8.3.1 Normales Verhalten
        2. 8.3.2 Der HTTP-Header 204
      4. 8.4 XSS-Filter im IE und Chrome
        1. 8.4.1 Microsoft Internet Explorer
        2. 8.4.2 Google Chrome
      5. 8.5 JavaScript deaktivieren
        1. 8.5.1 Beschränkte Frames im Internet Explorer
        2. 8.5.2 Das sandbox-Attribut
        3. 8.5.3 Der Design-Modus
      6. 8.6 Sicherheitsverletzungen durch das location-Objekt
        1. 8.6.1 Microsoft Internet Explorer
        2. 8.6.2 Apple Safari
      7. 8.7 Ausnahmen beim Referrer benutzen
    5. 9 Das Katz- und Mausspiel
      1. 9.1 Der »ultimative« Frame-Busting-Code
      2. 9.2 Die defineProperty-Funktion
  9. Teil IV Ergänzende Informationen
    1. 10 Statistiken
      1. 10.1 Frame-Buster
      2. 10.2 X-Frame-Options
      3. 10.3 Transparente Frames und Clickjacking-Angriffe
    2. 11 Die häufigsten Irrtümer
      1. 11.1 Clickjacking ist UI-Redressing
      2. 11.2 Clickjacking benötigt JavaScript-Code
      3. 11.3 JavaScript sollte deaktiviert werden
      4. 11.4 X-Frame-Options schützt gegen Clickjacking
      5. 11.5 Browserinterne XSS-Filter schützen den Benutzer
      6. 11.6 Sidejacking gehört zu Clickjacking
    3. 12 Interviews mit bekannten Experten für das Clickjacking
      1. 12.1 Robert Hansen (USA)
        1. 12.1.1 Über die Person
        2. 12.1.2 Interview
      2. 12.2 Jeremiah Grossman (USA)
        1. 12.2.1 Über die Person
        2. 12.2.2 Interview
      3. 12.3 Paul Stone (England)
        1. 12.3.1 Über die Person
        2. 12.3.2 Interview
      4. 12.4 Krzysztof Kotowicz (Polen)
        1. 12.4.1 Über die Person
        2. 12.4.2 Interview
      5. 12.5 Mario Heiderich (Deutschland)
        1. 12.5.1 Über die Person
        2. 12.5.2 Interview
    4. 13 Hinweise für die jeweiligen Leser
      1. 13.1 Browserhersteller
      2. 13.2 Administratoren und Webentwickler
      3. 13.3 Benutzer eines Webbrowsers
    5. 14 Zusammenfassung und Ausblick
  10. Danksagung und Feedback
  11. Referenzen und weiterführende Literatur
  12. Index
  13. Fußnoten
    1. Kapitel 2
    2. Kapitel 3
    3. Kapitel 4
    4. Kapitel 5
    5. Kapitel 6
    6. Kapitel 7
    7. Kapitel 8
    8. Kapitel 9
    9. Kapitel 10
    10. Kapitel 11
    11. Kapitel 13