Clickjacking, taip pat žinomas pagal pavadinimus Vartotojo sąsaja atlyginimo ataka, UI teisių gynimo ataka, UI taisymas, yra įprasta piktybinė technika, naudojama užpuolikų, siekiant sukurti keletą sudėtingų sluoksnių, kad suklaidintų naudotoją spustelėjus mygtuką ar nuorodą kitame puslapyje, kai jie ketino spustelėti kitą puslapį. Taigi, užpuolikas sėkmingai kontroliuoja naudotoją spustelėjęs nuorodą iš išorinio šaltinio, o "pagrobia" jį iš pradinio puslapio. Ši technologija neribotai naudojama, kai kalbama apie naudotojų išnaudojimą. Pavyzdžiui, toks išpuolis gali įtikinti klientus įvesti savo banko duomenis į trečiosios šalies puslapį, kuris atspindi originalų.
Kas yra Clickjacking
"Clickjacking" yra kenksminga veikla, kur kenkėjiškos nuorodos yra paslėptos už tikruosius spustelėjamus mygtukus ar nuorodas, todėl vartotojai su jų paspaudimu aktyvina netinkamus veiksmus.
Bendras ir labai destruktyvus šio metodo pavyzdys gali būti tada, kai užpuolikas, kuris sukuria tinklalapį, kuriame yra mygtukas, kuriame teigiama, kad "Spustelėkite čia norėdami patekti į konkursą" Tačiau tiesiog šalia mygtuko jie įveda beveik nematomą rėmelį, kuris jungia "Ištrinti visus savo "Gmail" paskyros kontaktus". Auka bando spustelėti mygtuką, o iš tikrųjų spustelėja nematomą mygtuką. Taigi, užpuolikas "užgrobė" naudotojo spragtelėjimą, taigi ir pavadinimą "Clickjacking".
Pastaraisiais metais Clickjacking tapo populiariomis paslaugomis, įskaitant "Adobe Flash Player" ir "Twitter". Kai kurie užpuolikai pakeitė "Adobe Flash" įskiepių nustatymus. Įkeldamas šį puslapį į nematomą "iframe", užpuolikas gali apgauti vartotoją pakeisti "Flash" saugos nustatymus, suteikiant bet kokią "Flash animaciją" leidimą naudoti kompiuterio mikrofoną ir fotoaparatą.
Kalbant apie "Twitter", "clickjacking" pateko į "Twitter" kirminą. Ši ataka buvo gana protingai nukreipta į naudotojus, priversdama juos persikelti į vietą ir platinti ją plačiai, kol "Twitter" įsitraukė į viruso kontrolę.
Kas yra "Cursorjacking"?
Viena "Clickjacking" rūšies funkcija leidžia slėpti pelės žymeklį ir įtikinti naudotoją pakeisti jo paspaudimus į kitą to paties puslapio vietą. Populiarus incidentas Cursorjacking buvo aptiktas "Mozilla Firefox" sistemose "Mac OS X", naudojant "Flash", HTML ir "JavaScript" kodą, kuris taip pat gali sukelti žiniatinklio kameros šnipinėjimą ir piktybišką priedą, leidžiantį užverto vartotojo kompiuteryje vykdyti kenkėjišką programą.
Kas yra "Likejacking"?
Be Cursorjacking taip pat buvo pranešta apie incidentus As jacking. Pasirodžius populiariam "Facebook" populiariosios kultūros atsiradimui, šis savaime suprantamas terminas reiškia pagrobimą asmeniui į "Facebook" puslapį, apie kurį jis neturėtų žinoti iš pradžių.
Clickjacking apsaugos patarimai
X-Frame parinktys
Šis "Microsoft" sprendimas yra vienas iš efektyviausių prieš spąstais nukreiptų atakų jūsų kompiuteryje. Galite įtraukti X-Frame-Options HTTP antraštę visuose jūsų tinklalapiuose. Tai neleidžia jūsų svetainei pateikti rėmelyje. "X-Frame" palaiko naujausias daugelio naršyklių, įskaitant "Safari", "Chrome", "IE" versijas, tačiau gali turėti problemų su "Firefox". Didžioji dalis "X-Frame" naudojimo yra ta, kad ji yra labai paprasta, bet serveris turi turėti prieigą prie serverio konfigūracijos ir scenarijų kalbos.
Perkelkite elementus į savo puslapius
Užpuolikas, kuris bando įdėti spragtelėjimą į savo tinklalapius, nežino apie esamas jūsų elementų vietas. Jis gali įdėti savo užkrėstus elementus tik pagal numatytuosius nustatymus. Gera idėja pabandyti perkelti elementus į savo puslapį; Pavyzdžiui, užpuolikai gali planuoti "Facebook" mygtuką. Perkeldami šį elementą į kitą vietą, galite lengvai nustatyti, kada toks įvykis įvyks. Vienintelis klausimas, susijęs su šiuo sprendimu, yra tai, kad įprasti naudotojai gali tai atlikti labai sunkiai.
Vienkartiniai URL
Tai gana išplėstas būdas apsaugoti "clickjacker", kuris gali būti pakankamai informuotas, kad viršytų jūsų pagrindinius filtrus. Jūs galite padaryti išpuolį daug sunkiau, jei įtraukiate vienkartinį kodą į svarbiausių puslapių URL. Tai yra panaši į nonces, naudojamą siekiant užkirsti kelią CSRF, bet unikaliu būdu, kad jis apima netikslumus URL adresuose, skirtus puslapių nukreipimui, o ne tų puslapių formose.
Framebuster Javascript
Kitas būdas išvengti "clickjacking" užpuolimo spragų yra patikrinti Javascript kodą aptikti. Šis procesas vadinamas "frambusting"
"Clickjacking" prevencijos patarimai
Įvertinkite el. Pašto apsaugą
Stiprus elektroninio šlamšto filtro įdiegimas ir tikrinimas yra vienas iš būdų veiksmingai aptikti bet kokius išpuolius jūsų paskyrose. "Clickjacking" išpuoliai dažniausiai prasideda, kai vartotojas elektroniniu būdu apgaudinėja lankydamas kenkėjišką svetainę. Tai atliekama naudojant suklastotus arba specialiai paruoštus el. Laiškus, kurie atrodo autentiški. Užblokuojant neteisėtus el. Laiškus, sumažėja potenciali ataka dėl "clickjacking" ir kitų išpuolių žudynių.
Naudokite žiniatinklio programų ugniasienes
WEF užkardos interneto taikomosios programos yra svarbus saugumo aspektas tais atvejais, kai įmonės turi daugumą savo duomenų internete. Kai kurios iš šių įmonių linkusios ignoruoti vieno poreikio ir galų gale užpulti didžiulius "spąsdinimo" incidentus. Naujausi duomenys parodė, kad per pastarąjį dešimtmetį beveik 70 proc. Visų SMB buvo įsilaužta. Tai gali užtraukti didžiulę naštą nuo jūsų plokštės, labai sumažina riziką ir išlaidas, mažesnius už nuostolius, kuriuos galite susidurti.
Deja, nėra tobulo sprendimo užkirsti kelią "clickjacking", nes užpuolikai galiausiai ras būdus, kaip pasinaudoti daugeliu metodų. Nepaisant to, efektyviausiomis priemonėmis prieš tokius išpuolius bus "X-Frame" ir "FrameBuster Javascript".
Dabar skaitykite: Kas yra spragtukas "Sukčiavimas" ir internetinė reklama?
