Clickjacking (User Interface redress attack) adalah teknik jahat untuk menipu pengguna agar mengklik sesuatu yang berbeda dari apa yang dilihat pengguna, sehingga berpotensi mengungkapkan informasi rahasia atau memungkinkan orang lain untuk mengambil kendali komputer mereka sambil mengklik pada objek yang tampaknya tidak berbahaya, termasuk halaman web. Di browser web, clickjacking adalah masalah keamanan browser yang merupakan kerentanan di berbagai browser dan platform. Clickjacking juga dapat terjadi di luar browser web, termasuk aplikasi. Clickjacking mengambil sourde code atau script yang dapat dijalankan tanpa sepengetahuan pengguna, seperti mengklik tombol yang muncul untuk menjalankan fungsi lain. Tidak semua clickjacking adalah bug, hanya clickjacking yang memiliki dampak yang berbahaya yang dapat dikatakan sebagai bug.
Saat pelaporan bug clickjacking sendiri pelapor harus memberikan beberapa keterangan seperti attacker scenario, payload dan impact. Beberapa waktu lalu salah satu admin nakanosec melaporkan celah clickjacking pada sub domain google namun dinyatakan out of scope (bug yang memiliki risk tinggi namun tidak dalam scope berarti tidak dianggap valid.
Exploitasi
Mencoba clickjacking pada https://questionhub.google.com/questions#0
Preview
Preview
Impact:
Delete akun https://questionhub.google.com/questions#0
Buat Questions
Dismiss Question dll...
Ternyata bugnya udah ditemuin lama~