La política de seguridad del contenido contra clickjacking falla con PoC estático

2

Tengo dudas sobre el uso de la Política de seguridad de contenido (CSP) como mecanismo de protección contra el clickjacking.

He creado una Prueba de concepto (PoC) en línea en una página web donde coloco un botón que carga la URL que se especifica en un campo de entrada que está funcionando en un servidor. Este PoC es para probar si un sitio es vulnerable o no, y en base a eso, he probado un sitio que usa CSP para prevenir ataques de clickjacking. El resultado en mi PoC en línea me dice que el sitio no es vulnerable porque no puedo enmarcarlo, sin embargo, si repito la prueba usando la plantilla estática provista en el sitio de OWASP, entonces puedo ver el contenido de la página web dentro del elemento.

Por lo tanto, creo que el sitio aún puede ser vulnerable, y me gustaría saber su opinión.

Noté que el CSP no se devuelve en el encabezado cuando uso el PoC estático, ¿cree que esto es un error en la programación que hace que el sitio sea vulnerable?

¿Alguien ha experimentado esto antes?

    
pregunta Lennin 12.12.2016 - 18:24
fuente

3 respuestas

1

Como el "PoC estático" es solo un archivo estático cargado desde el disco, obviamente no hay un servidor HTTP involucrado. Esto significa que no hay un protocolo HTTP involucrado en el servicio de los datos y, por lo tanto, no existe un encabezado HTTP donde se establece el encabezado CSP. Esto significa efectivamente que su PoC estático para CSP no es una prueba para CSP en absoluto, ya que no hay una política de CSP declarada en su prueba. Y sin una política de CSP declarada, ninguna se aplicará.

    
respondido por el Steffen Ullrich 13.12.2016 - 06:36
fuente
0

Para que CSP evite el uso de ClickJacking mediante el uso de Iframe, la política de CSP debe establecer la directiva de política frame-ancestors , que es una lista de sitios permitidos.

Si el sitio está devolviendo este error, lo recibirás en la consola del desarrollador:

"Se negó a mostrar ' enlace ' en un marco porque un antepasado infringe la siguiente directiva de Política de seguridad de contenido:" uno mismo de los antepasados de marco " '... ... ".

    
respondido por el Alex Urcioli 12.12.2016 - 22:52
fuente
0

Sin servidor, sin encabezados HTTP. Así que, en esencia, no se aplican CSPs. Tire su poción en un servidor real, parece que solo está sirviendo un archivo desde su disco local.

    
respondido por el Trickycm 09.09.2017 - 19:23
fuente

Lea otras preguntas en las etiquetas