Frage zu bzw. Erfahrung mit Click Jacking

Luzi · 20. November 2021

Hallo zusammen,

wir haben eine Mail erhalten in der es heißt, dass eine unserer Joomlawebsiten (Version 3.10.3) über Click Jacking über das Loginformular im Frontend angegriffen wird. Ich kann das nicht beurteilen ob das wirklich so ist. Hat da jemand eine Erfahrung wie man das feststellen kann?

Wie kann man sich davor schützen? Über HTTP-Header X-FRAME-OPTIONS ? Kann man diese Haederinfo in eine Overridedatei in die index.php eintragen?

Ich habe gelesen, in Joomal 4 ist zur Verhinderung von Click Jacking bereits ein Plugin integriert. Kann man ein entsprechendes Plugin auch in Joomla 3 verwenden? Wenn ja, habt ihr eine Empfehlung?

Danke für eure Tipps.

Stef · 20. November 2021

Hallo,

Achtung, in der E-Mail auf nichts klicken ! Von wem kommt diese E-Mail ? Was ist der kompletten Text ?

Luzi · 20. November 2021

das ist der Inhalt der kompletten Mail

HTML

Hi Team. 
I am an security researcher and I have found a bug in your website    http://neuromeditation-info.de/ 

The details of it are as follows:-

CLICK-JACKING.

Description :

Click-jacking, also known as a "UI redress attack" is when an attacker uses multiple transparent or opaque layers to trick a user into clicking on a button or link on another page when they were intending to click on the top level page. Thus, the attacker is "hijacking" clicks meant for their page and routing them to another page, most likely owned by another application, domain, or both.

Using a similar technique, keystrokes can also be hijacked. With a carefully crafted combination of style-sheets, I-frames, and text boxes, a user can be led to believe they are typing in the password to their email or bank account, but are instead typing into an invisible frame controlled by the attacker.

Impacts: 

1.       Tricking a user into unknowingly clicking on things and then gaining access to his account 

2.       An attacker can gain access to the credentials of users and use those credentials for booking and payment. 

3.       Adding events to their profile they are interested in attending. 

4.       editing their star rating on reviews

5.       Using their bank account details to books in hotels whereas the bill will go to their bank account.

6.       Bookmarking unwanted business.

POC: 

<html>

     <head>

     </head>

     <body>

                <h1>Click-Jacking In Your Site</h1>

         <iframe src="             http://neuromeditation-info.de/index.php/en/login                  "height="800" width="1300">

         </iframe>

     </body>

</html>

Waiting for your reply

Alles anzeigen

Stef · 20. November 2021

... wer ist der Absender ?

Von mir aus ist diese E-Mail gut für die Tonne.

Luzi · 20. November 2021

der Absender nennt sich Faaiz Owais mit folgender Mail: ethicalhackerbasil@gmail.com>
Mehr Infos über den Absender habe ich nicht und Google kennt ihn auch nicht.

Stef · 20. November 2021

Wie schon gesagt einfach schreddern und nirgends klicken.

Re:Later · 20. November 2021

Zitat von Luzi

dass eine unserer Joomlawebsiten (Version 3.10.3) über Click Jacking über das Loginformular im Frontend angegriffen wird

Das steht so nicht drinnen, sondern er weist darauf hin, dass es möglich wäre, AAABER das kann ich nicht beurteilen. Vielleicht auch nur ein netter Mensch Oder einer, der Geschäfte machen will oder ...

Jedenfalls sollten alle Login-Seiten und ähnliches unter https laufen und nicht mehr unter http. Das würde ich jedenfalls bald anpassen für die genannte Seite, wenn das deine ist(???)

Das Plugin für Joomla 3 von zero24 findest du hier: https://github.com/zero-24/plg…tpheader/releases/latest/

Sieger66 · 21. November 2021

OT:

Nun ja, bei machen Websites wärs ja wohl gut wenn sie 404 wären...

Luzi · 21. November 2021

Zitat von Sieger66

Nun ja, bei machen Websites wärs ja wohl gut wenn sie 404 wären...

Nun, das ist sicher so und auch bei manchen Beiträgen wäre die 404 die bessere Variante …

Stef · 21. November 2021

Hallo Luzi , ein Zertifikat wäre schon dringend.

Bei den meisten Hoster gibt es gratis den «Let’s Encrypt SSL Zertifikat». Sollte dieser bei 1&1 nicht angeboten werden, würde ich mir einem Hosting Wechsel überlegen.

Lui_brempt · 21. November 2021

1 Zertifikat sollte bei Ionos (früher 1&1) auch inbegriffen sein.

Elwood · 21. November 2021

Zitat von Lui_brempt

1 Zertifikat sollte bei Ionos (früher 1&1) auch inbegriffen sein.

So ist es:

Luzi · 22. November 2021

Hallo zusammen,

ich danke euch allen für eure Antworten. Da habt ihr recht mit dem SSL. Ich habe jetzt mal die Loginmöglichkeit deaktiviert. Das ist tatsächlich eine Nebenwebsite (und nicht die meine), die noch ausgebaut werden soll, aber, es ist wie mit vielen Dingen, nichts ist zählebiger als ein Provisorium.

Das inbegriffene SSL-Zertifikat von Ionos liegt bei einer anderen Domain.

VG Luzi

Da fällt mir noch eine Frage dazu ein. Es ist aber so, dass eine SSL-Verschlüsselung diesen Click Jacking-Missbrauch nicht verhindern kann, oder?

JoomlaWunder · 22. November 2021

Zitat von Luzi

Da fällt mir noch eine Frage dazu ein. Es ist aber so, dass eine SSL-Verschlüsselung diesen Click Jacking-Missbrauch nicht verhindern kann, oder?

Ja! Es werden lediglich die Daten zwischen Webseite und Server verschlüsselt übertragen. Einige Browser melden ohne https eine unsichere Seite. Auch die Suchmaschinen sehen das überhaupt nicht gerne. Und für Kontaktformulare ist es aus datenschutzrechtlichen Gründen sogar Pflicht.

Ein SSL-Zertifikat lohnt in jedem Fall.

Nebenbei: Oftmals gelten SSL-Zertifikate für alle im Tarif enthaltenen Domains. Das kommt natürlich auf den Hoster und den Tarif an.

Und eine zusätzliche Absicherung des Backends wäre auch immer zu empfehlen. Das ist ein wichtiger Grundschutz.

Und solange es nur mal vereinzelte Emails sind, die da so ankommen, würde ich mir keine großen Gedanken machen.