shikata ga nai

Private? There is no such things.

BurpのClickbanditでクリックジャッキングをやってみた

Hello there, ('ω')ノ

 

OWASP BWAのCycloneで。

 

f:id:ThisIsOne:20210213141807p:plain

 

Burp Scannerは、このページの脆弱性を受動的にチェックして。

クリックジャッキング攻撃が可能になる可能性があって。

 

f:id:ThisIsOne:20210213141850p:plain

 

下記でログインして。

 cycloneuser-3@cyclonetransfers.com/password

 

f:id:ThisIsOne:20210213142413p:plain

 

All Usersメニューを。

 

f:id:ThisIsOne:20210213142515p:plain


下記のユーザを選択して。
 http://192.168.0.98/cyclone/users/4

 

f:id:ThisIsOne:20210213142318p:plain

 

Burp Clickbanditメニューを。

 

f:id:ThisIsOne:20210213142638p:plain

 

Copy Clickbandit to clipboardで、コピーして。

 

f:id:ThisIsOne:20210213142656p:plain

 

開発ツールのコンソールに貼り付けて。

 

f:id:ThisIsOne:20210213142751p:plain

 

Disable click actionsにチェックを入れてからStartボタンを。

クリックさせたいDeleteをクリックして、Finishするとバナーが変化して。

 

f:id:ThisIsOne:20210213142851p:plain

 

赤いClickが表示されるので、+、-ボタンで位置を調整して。

 

f:id:ThisIsOne:20210213143058p:plain

 

半透明のページを透明にしたい場合は、Toggle transparencyで消してから保存を。

 

f:id:ThisIsOne:20210213144103p:plain

 

f:id:ThisIsOne:20210213144125p:plain

 

Resetボタンを押して、現在のページの内容を確認して。

 

f:id:ThisIsOne:20210213144231p:plain

 

さきほど、保存したhtmlファイルを読み込んで、Clickボタンを押すと。

 

f:id:ThisIsOne:20210213144025p:plain

 

確認のポップアップが表示されてOKを選択すると。

 

f:id:ThisIsOne:20210213144303p:plain

 

クリックジャックされたようで。

 

f:id:ThisIsOne:20210213144324p:plain

 

もとのページを確認するとDeleteされていた。

 

f:id:ThisIsOne:20210213144413p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain