Ano ang mga pag-atake ng Clickjacking? Mga tip sa Proteksyon at Pag-iwas

Clickjacking , na kilala rin sa mga pangalan tulad ng Pag-atake ng redress ng User Interface, Pag-atake ng redress ng UI, Pag-redress ng UI, ay isang pangkaraniwang nakakahamak na pamamaraan na ginagamit ng mga attacker upang lumikha ng maraming kumplikadong layer upang linlangin ang isang user sa pag-click sa isang pindutan o mag-link sa isa pang pahina kapag nilayon nilang mag-click sa isa pang pahina. Sa gayon, matagumpay na kinokontrol ng magsasalakay ang gumagamit sa pag-click sa isang link mula sa isang panlabas na pinagmulan, habang `pag-hijack` nito mula sa orihinal na pahina. Ang pamamaraan na ito ay may walang limitasyong paggamit pagdating sa pagsasamantala ng gumagamit. Halimbawa, ang ganitong pag-atake ay maaaring kumbinsihin ang mga customer na ipasok ang kanilang mga detalye sa bangko sa isang pahina ng third-party na nagsasalamin sa orihinal.

Ano ang Clickjacking

Clickjacking ay isang nakakahamak na aktibidad, kung saan nakatago ang mga nakakahamak na link sa likod ng mga tunay na naki-click na mga pindutan o mga link, na ginagawang aktibo ng mga user ang isang maling aksyon sa kanilang pag-click.

Ang isang karaniwang at napakalaking mapanirang halimbawa ng pamamaraan na ito ay maaaring kapag ang isang magsasalakay na nagtatayo ng isang website na mayroong buton dito na nagsasabing " Mag-click dito para sa ipasok ang paligsahan ". Gayunpaman, sa tabi lamang ng pindutan, inilagay nila sa isang halos hindi nakikitang frame na naka-link sa ` Tanggalin ang lahat ng mga contact` ng iyong Gmail account `. Sinisikap ng biktima na mag-click sa buton ngunit sa halip ay talagang nag-click sa hindi nakikitang button. Sa gayon, ang pag-atake ay "na-hijack" ng "pag-click" ng gumagamit, at samakatuwid ay ang pangalan ng Clickjacking.

Sa kamakailang mga panahon, ang Clickjacking ay nagpunta sa mga sikat na serbisyo kabilang ang Adobe Flash Player at Twitter. Binago ng ilang mga pag-atake ang mga setting ng Adobe Flash plugin. Sa pamamagitan ng paglo-load ng pahinang ito sa isang hindi nakikitang iframe, ang isang magsasalakay ay maaaring lansihin ang isang gumagamit upang baguhin ang mga setting ng seguridad ng Flash, na nagbibigay ng pahintulot para sa anumang Flash animation upang magamit ang mikropono at camera ng computer.

Pakikipag-usap tungkol sa Twitter, clickjacking nakuha sa isang Twitter worm. Ang pag-atake na ito ay sa halip ay matalino na naka-target sa mga gumagamit, na pinipilit ang mga ito na i-retweet ang isang lokasyon at palaganapin ito nang malawakan bago huminto ang Twitter upang makontrol ang virus.

Ano ang Cursorjacking

Ang isang uri ng Clickjacking ay nagpapatakbo ng disguising ang cursor ng mouse at nakakumbinsi sa user upang palitan ang kanyang mga pag-click sa ibang lokasyon sa parehong pahina. Ang isang tanyag na insidente ng Cursorjacking ay natuklasan sa Mozilla Firefox sa mga sistema ng Mac OS X gamit ang Flash, HTML at JavaScript code na maaari ring humantong sa bakay ng webcam at ang pagpapatupad ng isang malisyosong addon na nagpapahintulot sa pagpapatupad ng malware sa computer ng nakulong na gumagamit.

Ano ang Likejacking

Bukod sa Cursorjacking, may naiulat na mga insidente ng Likejacking . Ginawa na sikat pagkatapos ng pagdating ng Facebook sa kultura ng pop, ang nakakatakdang termino na ito ay nangangahulugang pag-hijack sa tao sa pagnanais ng isang pahina sa Facebook na hindi niya alam na orihinal na alam.

Mga Tip sa Proteksyon ng Clickjacking

X-Frame Options

Ang solusyon na ito mula sa Microsoft ay isa sa mga pinaka-epektibong laban sa mga clickjacking na pag-atake sa iyong makina. Maaari mong isama ang header ng HTTP ng X-Frame-Opsyon sa lahat ng iyong mga web page. Pipigilan nito ang iyong site na mailagay sa loob ng isang frame. Ang X-Frame ay sinusuportahan ng mga pinakabagong bersyon ng karamihan sa mga browser kabilang ang Safari, Chrome, IE, ngunit maaaring may ilang mga isyu sa Firefox. Ang malaking bahagi ng paggamit ng X-Frame ay ito ay sobrang simple, ngunit nangangailangan ng access sa web server configuration at scripting language sa server.

Ilipat ang mga elemento sa iyong mga pahina

Ang magsasalakay na sinusubukang ilagay ang clickjacking sa iyong mga web page ay hindi alam ang kasalukuyang mga lokasyon ng mga elemento mula sa iyong panig. Maaari lamang niyang ilagay ang kanyang mga nahawaang elemento batay sa mga default na setting. Magandang ideya na subukan at ilipat ang mga elemento sa iyong pahina; Halimbawa, ang mga attackers ay maaaring mag-target sa target na Tulad ng Facebook. Sa pamamagitan ng paglipat ng sangkap na iyon sa ibang lugar, maaari mong madaling makitang kapag naganap ang naturang pangyayari. Ang tanging isyu sa solusyon na ito ay napakahirap para sa mga normal na gumagamit na magsagawa.

Mga One-Time URL

Ito ay isang halip advanced na paraan ng pagprotekta laban sa clickjackers, na maaaring sapat na sapat upang malampasan ang iyong mga pangunahing filter. Maaari mong gawing mas mahirap ang pag-atake kung isasama mo ang isang isang beses na code sa mga URL sa mga mahahalagang pahina. Ito ay katulad ng mga hindi ginagamit upang maiwasan ang CSRF ngunit sa kakaibang paraan kung paano ito kasama ang mga non sa mga URL upang i-target ang mga pahina, hindi sa mga form sa loob ng mga pahinang iyon.

Framebuster Javascript

Isa pang paraan ng pag-eskapo ng claws ng isang clickjacking attack ay sa pamamagitan ng pagsuri sa Javascript code upang makita. Ang prosesong ito ay tinatawag na frambusting

Mga tip sa pag-iwas sa Clickjacking

Suriin ang Proteksyon ng Email

Ang pag-install at pag-check ng malakas na filter ng email spam ay isang paraan ng epektibong pag-detect ng anumang uri ng pag-atake sa iyong mga account. Ang mga pag-atake sa pag-click ay karaniwang nagsisimula sa pamamagitan ng pag-tricking ng isang user sa pamamagitan ng email sa pagbisita sa isang nakakahamak na site. Ginagawa ito sa pamamagitan ng pagpapatupad ng mga huwad o espesyal na ginawa na mga email na mukhang tunay. Ang pagbabawal sa mga ipinagbabawal na email ay binabawasan ang isang potensyal na pag-atake para sa clickjacking at isang liko ng iba pang mga pag-atake pati na rin.

Paggamit ng Web Application Firewalls

Web Application Firewalls ng WEFs ay isang mahalagang aspeto ng seguridad sa kaso ng mga negosyo na karamihan sa kanilang data sa Internet. Ang ilan sa mga ito ay may posibilidad na huwag pansinin ang pangangailangan ng isa at magtapos sa pag-atake sa mga napakalaking pag-click sa insidente. Ipinakita ng kamakailang data na halos 70 porsiyento ng lahat ng SMBs ay na-hack sa ilang kapasidad sa huling dekada o higit pa. Ito ay maaaring tumagal ng isang malaking pasanin sa iyong plato, lubos na binabawasan ang mga panganib at nagkakahalaga ng mas mababa kaysa sa pagkawala na maaari mong harapin.

Sa kasamaang palad, walang perpektong solusyon sa pagpigil sa clickjacking, dahil ang mga sumasalakay ay huli na makahanap ng mga paraan upang makapasok sa karamihan ng mga diskarte. Sa kabila nito, ang pinaka-epektibong mga remedyo laban sa naturang mga pag-atake ay ang X-Frame at ang FrameBuster Javascript.

Ngayon basahin ang : Ano ang I-click ang Mga Pandaraya at Online Advertising Frauds?