هجوم BITB (متصفح في متصفح)

 هجوم متصفح في متصفح BITB هو هجوم تصيد متقدم وأكثر تعقيدًا يمكن أن يخدع المستخدمين للاعتقاد بأن موقع الويب المزيف حقيقي و يعمل على جعل المستخدمين يعتقدون أن نافذة SSO الزائفة حقيقية.

 ولتوضيح الامر أكثر ربما قد شاهدت هذه النافذة عند محاولة تسجيل الدخول إلى موقع canva :

تسمح لك نافذة SSO الجديدة بالمصادقة مع google.

لمحة عن الدخول المُوحَّد (SSO)

يتيح الدخول المُوحَّد (SSO) للمستخدمين تسجيل الدخول مرة واحدة فقط للوصول إلى جميع تطبيقات السحابة الإلكترونية للمؤسسة. في حال إعداد الدخول المُوحَّد (SSO)، يمكن للمستخدمين تسجيل الدخول إلى موفِّر الهوية التابع لجهة خارجية، ثم الدخول إلى تطبيقات Google مباشرةً بدون الحاجة إلى تسجيل الدخول مرة ثانية.

 

يمكنك أن ترى أننا حصلنا على نافذة منبثقة جديدة من Google . إذا نظرنا إلى خصائص URL فهي محمية بطبقة المقابس الآمنة وبها HTTPS ، كما أنه لا يوجد هجوم متماثل لـ IDN و بالتالي فهو مناسب للإستخدام.

يمكن للمطور إنشاء نفس النافذة باستخدام علامة <ifram> في HTML وجعلها أكثر قابلية للتصديق كنافذة SSO مستقلة باستخدام  الصحيح ل CSS و JS و لكن في الحقيقة ستكون مجرد نافذة داخل نافذة وليست نافذة مستقلة !!

 

 كلاهما يبدوان متشابهين لهما نفس المجال وأيقونة قفل SSL  ونسخة كاملة.

 

كيف يتم تنفيذ هجوم BITB؟ 

من أجل الحصول على فكرة بسيطة عن كيفية عمل هجوم BITB يمكنك إلقاء نظرة على إطار عمل التالي :

 https://github.com/surya-dev-singh/BITB-framwork

قم باستنساخ المستودع على نظامك وستجد أنه يملك العديد من القوالب للعمل على المواقع الشعبية.

يمكنك تعديل و تغيير مواقع الويب عن طريق التعديل على main.html.

ستسمح لك نافذة SSO الوهمية بالتقاط عمليات تسجيل الدخول:

كيف تكتشف هجمات BITB؟

نظرًا لأن هذا الهجوم يعتمد على كود HTML فمن الصعب اكتشافه ومن الصعب إنشاء مؤشر الاختراق (IOC). إحدى الطرق الممكنة للكشف هي التحقق مما إذا كانت نافذة SSO المنبثقة قادرة على الهروب من المتصفح، لأنه إذا كان هجومًا من قبل BITB فسيستخدم علامة <iframe> والتي تشبه نافذة داخل النافذة لكنها لا تستطيع الخروج من المتصفح.