Clickjacking, zināms arī ar nosaukumiem, piemēram Lietotāja saskarnes aizsardzības avārijas uzbrukums, Lietotāja interešu aizsardzība, Lietotāja interfeiss, ir izplatīta ļaunprātīga tehnika, ko uzbrucēji izmanto, lai izveidotu vairākus sarežģītus slāņus, lai ļautu lietotājam noklikšķināt uz pogas vai saites citā lapā, kad viņi plāno noklikšķināt uz citas lapas. Tādējādi uzbrucējs veiksmīgi kontrolē lietotāju noklikšķinot uz saites no ārējā avota, bet "uzlauzot" to no sākotnējās lapas. Šī metode ir neierobežota izmantošana, ja runa ir par lietotāju ekspluatāciju. Piemēram, šāds uzbrukums var pārliecināt klientus ievadīt viņu bankas informāciju trešās puses lapā, kas atspoguļo sākotnējo.
Kas ir Clickjacking
Clickjacking ir ļaunprātīga darbība, kur ļaunprātīgas saites tiek paslēptas aiz īstām klikšķināmām pogām vai saitēm, tāpēc lietotāji ar klikšķi aktivizē nepareizu darbību.
Parasti un ļoti destruktīvs šīs metodes piemērs varētu būt tad, ja uzbrucējs, kurš izveido vietni, kurai ir poga, kurā teikts:Noklikšķiniet šeit, lai piedalītos konkursā" Tomēr tieši blakus pogai viņi ievieto gandrīz neredzamu rāmi, kas piesaista "Dzēst visus Gmail konta kontaktus". Upuris mēģina noklikšķināt uz pogas, bet faktiski noklikšķina uz neredzamās pogas. Tādējādi uzbrucējs ir "nolaupījis" lietotāja "klikšķi", un līdz ar to arī vārds "Clickjacking".
Pēdējā laikā Clickjacking ir kļuvis populārs, tostarp Adobe Flash Player un Twitter. Daži uzbrucēji mainīja Adobe Flash spraudņa iestatījumus. Ielādējot šo lapu neredzamā iframe, uzbrucējs var ļaut lietotājam mainīt Flash iestatījumu drošības iestatījumus, dodot atļauju jebkurai Flash animācijai izmantot datora mikrofonu un kameru.
Runājot par čivināt, "clickjacking" nokļūst čivināt worm. Šis uzbrukums bija gudri orientēts uz lietotājiem, piespiežot viņus atgriezties atrašanās vietā un izplatīt to plaši, pirms Twitter ieguva kontroli pār vīrusu.
Kas ir Cursorjacking
Viena veida Clickjacking darbojas, slēpjot peles kursoru un pārliecinot lietotāju aizstāt savus klikšķus uz citu vietu tajā pašā lapā. Populārs incidents Cursorjacking tika atklāts Mozilla Firefox Mac OS X sistēmās, izmantojot Flash, HTML un JavaScript kodu, kas var arī izraisīt tīmekļa kameras spiegošanu un ļaunprātīgas pārlūka izpildi, kas ļaundabīgo lietotāju datorā ļauj ļaunprātīgu programmatūru izpildīt.
Kas ir Likejacking
Papildus Cursorjacking, ir arī ziņots par incidentiem Līdzīgi kāzu. Tas ir kļuvis populārs pēc Facebook parādīšanās popkultūrā, šis pašsaprotinošais termins nozīmē personāla nolaupīšanu uz Facebook lapu, kuru viņam sākotnēji nevajag uzzināt.
Clickjacking aizsardzības padomi
X-Frame opcijas
Šis Microsoft risinājums ir viens no visefektīvākajiem pret uzbrukumu uzbrukumiem jūsu datoram. Jūs varat iekļaut X-Frame-Options HTTP galveni visās jūsu tīmekļa lapās. Tas neļaus jūsu vietni ievietot rāmī. X-Frame atbalsta jaunākās vairumu pārlūkprogrammu versijas, tostarp Safari, Chrome, IE, taču var būt problēmas ar Firefox. Lielā daļa no X-Frame lietošanas ir tā, ka tas ir ļoti vienkārši, bet serverim ir nepieciešama piekļuve tīmekļa servera konfigurācijai un skriptu valodai.
Pārvietojiet elementus savās lapās
Uzbrucējs, kurš mēģina izvietot uz jūsu tīmekļa lapām uzklikšķināt uz augšu, nezina esošās atrašanās vietas elementus no jūsu puses. Viņš var ievietot savus inficētos elementus tikai pēc noklusējuma iestatījumiem. Ieteicams izmēģināt un pārvietot elementus savā lapā; Piemēram, uzbrucēji varētu domāt par taustiņu Facebook Like. Pārvietojot šo elementu uz citu atrašanās vietu, jūs varat viegli noteikt, kad notiek šāds incidents. Vienīgais jautājums ar šo risinājumu ir tāds, ka parasti lietotājiem ir ārkārtīgi grūti.
Vienreizēji URL
Šī ir diezgan uzlabota aizsardzība pret klikšķu uzbrukumiem, kuri varētu būt pietiekami informēti, lai pārsniegtu jūsu pamata filtrus. Jūs varat padarīt uzbrukumu daudz grūtāk, ja jūs iekļautu vienreizēju kodu vietrāžos URL svarīgākajām lapām. Tas ir līdzīgs noness, ko izmanto, lai novērstu CSRF, taču tas ir unikāls tā, lai tajā iekļautu nonies URL, lai mērķētu uz lapām nevis uz šīm lapām.
Framebuster Javascript
Vēl viens veids, kā izkļūt no Clickjacking uzbrukuma spīlēm, ir pārbaudīt Javascript kodu, lai noteiktu. Šo procesu sauc par frambustēšanu
Clickjacking novēršanas padomi
Novērtējiet e-pasta aizsardzību
Spēcīgu e-pasta surogātpasta filtrēšanas instalēšana un pārbaude ir viens veids, kā efektīvi atklāt jebkādus uzbrukumus jūsu kontiem. Klikšķu uzbrukšanas uzbrukumi parasti sākas, piespiežot lietotājam e-pastu, apmeklējot ļaunprātīgu vietni. Tas tiek darīts, ieviešot viltotus vai speciāli veidotus e-pastus, kas izskatās autentiski. Nelegālu e-pasta ziņojumu bloķēšana samazina potenciālu uzbrukumu klikšķu uzņemšanai un citu uzbrukumu gūšanai.
Izmantojiet Web lietojumprogrammas ugunsmūri
Web lietojumprogrammas WEF ugunsmūri ir svarīgs drošības aspekts tiem uzņēmumiem, kuru dati ir lielākoties internetā. Daži no šiem uzņēmumiem mēdz ignorēt nepieciešamību pēc viena un galu galā uzbrūk ar masveida Clickjacking incidentu. Jaunākie dati liecina, ka gandrīz 70 procenti mazo un vidējo uzņēmumu (SMB) pēdējo desmit gadu laikā ir kaut kādā veidā uzlauzti. Tas var uzņemties lielu slodzi pie jūsu plāksnes, ievērojami samazinot riskus un izmaksas, mazāk nekā zaudējumi jūs varētu saskarties.
Diemžēl nav perfekta risinājuma, kā novērst klikšķu uzkrāšanos, jo uzbrucēji galu galā atradīs veidus, kā iegūt lielāko daļu metožu. Neskatoties uz to, visefektīvākie līdzekļi pret šādiem uzbrukumiem būs X-Frame un FrameBuster Javascript.
Tagad lasīt: Kas ir krāpšanās klikšķi un tiešsaistes krāpšana tiešsaistē?
