Research

Wir bauen echte Partnerschaften mit unseren Kunden auf

• Whitepaper
  • Crouching Tiger, Hidden Dragon, Stolen Data
  • Web Application Vulnerability Statistics 2010-2011
  • Assessing Cloud Node Security
  • Smartphones in the Enterprise
  • Clickjacking
• Tools
  • Canape
    • Download
    • Sample Projects
  • Clickjacking tool
  • CAT
    • Warum CAT?
    • Features
    • Download
    • Bedienungsanleitung
      • Installation
      • Menu
      • Options
      • Log view
      • Repeater panel
      • Proxy panel
      • Fuzzer panel
      • Log panel
      • Auth checker panel
      • SSL phecker panel
      • Notepad
      • Integrated web browser panel
      • Additional Information
  • Mbean Trojan
  • IIS7 Header Block
• Blog
  • Cloud - Dirty Disks Raise New Questions About Cloud Security
  • App - Framesniffing against SharePoint and LinkedIn
  • Malware 2 - From Infection to Persistence
  • Server Technologies - HTTPS BEAST Attack
  • Malware - Dark Comet RAT
  • Server Technologies - Reverse Proxy Bypass
  • SAP Exploitation – Part 2
  • SAP Exploitation – Part 1
  • WebGL - More WebGL Security Flaws
  • WebGL - A New Dimension for Browser Exploitation
    • FAQ
  • Server Technologies - SSL2: Should it keep you awake at night?
  • SmartPhones - Can you Trust your USB Charger?
  • Malware 1 - From Exploit to Infection
  • Server Technologies - JBoss RMI Twiddling

„Clickjacking“ wurde erstmals 2008 von Jeremiah Grossman und Robert Hansen als Begriff für eine Technik eingeführt, bei der Mausklicks „entführt“ werden – mittels verdeckter anklickbarer Elemente in einem unsichtbaren iframe bringen Angreifer den ahnungslosen Anwender dazu, ungewollt bestimmte Aktionen auf einer Webseite auszuführen.

Obwohl dieses Angriffskonzept schon seit zwei Jahren bekannt ist, haben noch die wenigsten Webseiten einen wirksamen Clickjacking-Schutz implementiert. Dies mag zum Teil auch darauf zurückzuführen sein, dass sich die Funktionsweise dieser Angriffstechnik nur schwierig verbildlichen lässt.

Im neuen browserbasierten Tool können Anwender mit Clickjacking-Techniken experimentieren und verschiedene Elemente in einer angreifbaren Webseite mittels Point-and-Click auswählen. Zudem kann das Tool verschiedene Clickjacking-Techniken der neuen Generation demonstrieren, wie sie Paul Stone in seinem Vortrag auf der Sicherheitskonferenz Black Hat Europe 2010 vorstellte.

Das neue Tool bietet unter anderem:

• Auswahl der Angriffsziele in einer Webseite mittels Point-and-Click
• Unterstützung der neuen „Text Injection“-Technik
• Unterstützung der neuen „Content Extraction“-Technik
• Wiedergabe im „Sichtmodus“, der die Funktionsweise der Angriffstechnik verdeutlicht
• Wiedergabe im „Blindmodus“, bei dem die gleichen Schritte zur Simulation eines echten Clickjacking-Angriffs verdeckt ausgeführt werden

Das Tool befindet sich derzeit in einer frühen Beta-Phase und funktioniert am besten in Verbindung mit Firefox 3.6. Weitere Browser werden in Kürze voll unterstützt.

Ausführlichere Informationen sind der Readme-Datei zu entnehmen, die mit dem Tool heruntergeladen wird.

Mit dem Download des Tools stimmen Sie der nachfolgenden Lizenzvereinbarung zu.

Clickjacking-Tool herunterladen

© Copyright 2012 Context Information Security.

Main Navigation

• Home /
• Über uns /
• Herausforderungen /
• Unsere Dienstleistungen /
• Research /
• Kontakt