An adversary tricks a victim into unknowingly initiating some action in one system while interacting with the UI from a seemingly completely different, usually an adversary controlled or intended, system.
Description
Attack Execution Flow
3
1
Step 1
Experiment[Craft a clickjacking page] The adversary utilizes web page layering techniques to try to craft a malicious clickjacking page
The adversary leveraged iframe overlay capabilities to craft a malicious clickjacking page
The adversary leveraged Flash file overlay capabilities to craft a malicious clickjacking page
The adversary leveraged Silverlight overlay capabilities to craft a malicious clickjacking page
The adversary leveraged cross-frame scripting to craft a malicious clickjacking page
AI Translation
[Creare una pagina di clickjacking] L'advERSARIO utilizza tecniche di layering delle pagine web per cercare di creare una pagina di clickjacking dannosa
L'advERSARIO ha sfruttato le capacità di sovrapposizione iframe per creare una pagina di clickjacking dannosa
L'advERSARIO ha sfruttato le capacità di sovrapposizione di file Flash per creare una pagina di clickjacking dannosa
L'advERSARIO ha sfruttato le capacità di sovrapposizione di Silverlight per creare una pagina di clickjacking dannosa
L'advERSARIO ha sfruttato lo scripting cross-frame per creare una pagina di clickjacking dannosa
Attack Techniques
-
The adversary leveraged iframe overlay capabilities to craft a malicious clickjacking page
-
The adversary leveraged Flash file overlay capabilities to craft a malicious clickjacking pageIT: L'avversario ha sfruttato le capacità di overlay iframe per creare una pagina di clickjacking dannosa
-
The adversary leveraged Silverlight overlay capabilities to craft a malicious clickjacking pageIT: L'avversario ha sfruttato le capacità di overlay iframe per creare una pagina di clickjacking dannosa
-
The adversary leveraged cross-frame scripting to craft a malicious clickjacking pageIT: L'avversario ha sfruttato le capacità di overlay iframe per creare una pagina di clickjacking dannosa
2
Step 2
Exploit[Adversary lures victim to clickjacking page] Adversary utilizes some form of temptation, misdirection or coercion to lure the victim to loading and interacting with the clickjacking page in a way that increases the chances that the victim will click in the right areas.
Lure the victim to the malicious site by sending the victim an e-mail with a URL to the site.
Lure the victim to the malicious site by manipulating URLs on a site trusted by the victim.
Lure the victim to the malicious site through a cross-site scripting attack.
AI Translation
[Adversary lures victim to clickjacking page] L'attaccante utilizza una forma di tentazione, disorientamento o coercizione per attirare la vittima a caricare e interagire con la pagina di clickjacking in modo da aumentare le probabilità che la vittima clicchi nelle aree corrette.
Attira la vittima sul sito malevolo inviando un'e-mail con un URL al sito.
Attira la vittima sul sito malevolo manipolando gli URL su un sito di fiducia della vittima.
Attira la vittima sul sito malevolo attraverso un attacco di cross-site scripting.
Attack Techniques
-
Lure the victim to the malicious site by sending the victim an e-mail with a URL to the site.
-
Lure the victim to the malicious site by manipulating URLs on a site trusted by the victim.IT: Induci la vittima a visitare il sito malevolo inviandole un'e-mail con un URL al sito.
-
Lure the victim to the malicious site through a cross-site scripting attack.IT: Induci la vittima a visitare il sito malevolo inviandole un'e-mail con un URL al sito.
3
Step 3
Exploit[Trick victim into interacting with the clickjacking page in the desired manner] The adversary tricks the victim into clicking on the areas of the UI which contain the hidden action controls and thereby interacts with the target system maliciously with the victim's level of privilege.
Hide action controls over very commonly used functionality.
Hide action controls over very psychologically tempting content.
AI Translation
[Indurre la vittima ad interagire con la pagina di clickjacking nel modo desiderato] L'avversario induce la vittima a cliccare sulle aree dell'interfaccia utente che contengono i controlli di azione nascosti e, in questo modo, interagisce in modo malevolo con il sistema target sfruttando il livello di privilegio della vittima.
Nascondere i controlli di azione su funzionalità molto comunemente utilizzate.
Nascondere i controlli di azione su contenuti molto psicologicamente allettanti.
Attack Techniques
-
Hide action controls over very commonly used functionality.
-
Hide action controls over very psychologically tempting content.IT: Nascondi i controlli delle azioni su funzionalità molto comunemente utilizzate.
Mitigations
3
If Using The Firefox Browser, Use The Noscript Plug-In That Will Help Forbid Iframes.
Turn Off Javascript, Flash And Disable Css.
When Maintaining An Authenticated Session With A Privileged Target System, Do Not Use The Same Browser To Navigate To Unfamiliar Sites To Perform Other Activities. Finish Working With The Target System And Logout First Before Proceeding To Other Tasks.
Consequences
Security Scopes Affected
Access Control
Authorization
Availability
Confidentiality
Integrity
Potential Impacts
Gain Privileges
Modify Data
Read Data
Unreliable Execution
Relationships
Parent CAPECs
Resources Required
1
None: No specialized resources are required to execute this type of attack.