Diese Clickjacking-Demo ist extrem vereinfacht. Denn beide Fenster liegen einfach so übereinander, dass sichtbares und unsichtbares "Klick-Ziel" sich an der gleichen Stelle befinden.
Das reicht, um das Prinzip zu verdeutlichen: Wenn Sie den sichtbaren Link anklicken, erreicht der Klick tatsächlich den Button im Formular der unsichtbaren Seite.
Dass so was nicht gut ist, dürfte einleuchten.
Die ausführbaren Angriffe auf den beiden verlinkten Seiten sind eigentlich keine CSRF-Angriffe: Sie funktionieren nur, wenn diese Seite von dem Server geladen wurde, auf dem auch die Demo-Anwendung läuft. Da gibt es keinen "Cross-Site"-Faktor. Da ich die IP-Adresse Ihres Servers nicht kenne kann ich den Angriff aber nicht weiter vorbereiten.
Im jeweils dargestellten Sourcecode ist die Stelle markiert, an der Sie den Angriff anpassen müssen.
Das Formular sieht so aus:
<form method="post" action="http://Adresse des Servers/app/admin/index.php">
<input type="hidden" name="bname" value="FORMULAR-CSRF">
<input type="hidden" name="rname" value="Realname">
<input type="hidden" name="pass" value="FORMULAR-CSRF">
<input type="hidden" name="aktion" value="eintragen">
</form>
<script>document.forms[0].submit()</script>Es besteht nur aus unsichtbaren Feldern für die nötigen Parameter. Die Zeile JavaScript-Code im script-Tag darunter schickt das Formular beim Laden der Seite ab.