¿Vulnerabilidad del clickjacking de las descargas de archivos adjuntos?

Navega tus respuestas
2

Una parte de nuestro sistema expone un controlador de archivos HTTP que transmite un archivo al cliente siempre que la autenticación y la identificación del archivo sean correctas, y no hay respuesta si no.

El servidor ASP.net en el que está alojado se le indica que agregue un encabezado X-Frame-Options a todas las respuestas, y lo hace de manera diligente para las páginas estándar. Por cualquier razón, no lo hace para este controlador.

Un escaneo automático ha identificado esto como una vulnerabilidad de clickjacking, aunque estoy luchando para ver por qué este sería el caso. El archivo se transmite como Content-Disposition: attachment y, por lo tanto, se descarga, en lugar de mostrarse en el navegador de forma que pueda abrir una vulnerabilidad con una superposición sobre el contenido PDF, por ejemplo.

¿Mi instinto está en este derecho, que no representa una vulnerabilidad? ¿O hay un caso que he pasado por alto? Podría, por supuesto, simplemente agregar el encabezado de todos modos, aunque no estoy seguro de si eso está rompiendo las especificaciones.

    
pregunta Dan 01.08.2018 - 14:20
fuente

2 respuestas

0

No es exactamente un falso positivo, no estoy 100% seguro de que todos los tipos de contenido se descargarán en lugar de mostrarse en todos los navegadores. Por lo tanto, a menos que haya contenido controlado por el usuario o combinado con un error del navegador, no puedo verlo como útil / explotable en la naturaleza. Puede simplemente modificar el código para escupir el encabezado junto a la disposición del contenido si desea que el escáner / probador deje de marcarlo,

    
respondido por el wireghoul 02.08.2018 - 13:07
fuente
0

Mi veredicto

No puede tener clickjacking en páginas estáticas como una vulnerabilidad válida o pertinente, no me perjudicará al menos saltarme esos encabezados intencionalmente en páginas estáticas como la de los archivos adjuntos, a menos que sea un punto final de API. / em>

Asesoramiento profesional

Demonios, sí, es el falso positivo y la única razón por la que se le recomienda ir a los programas de recompensas de errores para su empresa y no se debe ejecutar un escáner automático, ni siquiera un par de redes, que cuesta unos pocos miles de dólares. Si eligió la última opción, enséñese las habilidades básicas para entender qué es un falso positivo y que estos escáneres tienen una precisión mucho menor que las técnicas de prueba manual.

No, no es una vulnerabilidad . El secuestro por los estándares de la industria de la época, requiere que un atacante pueda explotarlo desde el punto de vista de poder forzar al usuario a realizar una acción de cambio de estado en el contexto del usuario. Juzgue el hecho por la universidad BugHunter de Google, que establece que el clickjacking que puede tener un impacto de cambio de estado en la cuenta de usuario solo es elegible para su VRP.

¿Cuál es un escenario de ataque válido, estrictamente en términos técnicos?

Entonces, digamos que el atacante puede hacer que el marco se oculte debajo de un botón, ahora el usuario desconoce hacer clic en ese botón y esto lleva al usuario a eliminar todos sus datos y su cuenta. Entonces sí, es un vector de ataque válido y es de P4 prioridad para un ingeniero de seguridad como yo.

Más aclaraciones

Vuelva a preguntarse, ¿puede ser utilizado para phishing por un atacante o puede lograr algo útil incrustando un adjunto dentro de un marco o iframe, puede registrar las pulsaciones de teclas del usuario víctima con la ayuda de incrustar el adjunto en un iframe? ? Bueno, la respuesta directa es no , no.

Además, puede ir y leer mi artículo enlace en DZone que se distribuyó a miles de desarrolladores a través de un resumen semanal. Debe ser una buena lectura para usted, simplemente ignore los errores tipográficos que hizo su equipo editorial.

    
respondido por el A Khan 01.09.2018 - 14:31
fuente

Lea otras preguntas en las etiquetas

Votando con SAML + BlockChain BLE 4.2 LE Conexión segura