Apakah serangan Clickjacking? Tips Pencegahan dan Pencegahan

Clickjacking , juga dikenali dengan nama seperti Penyerang serangan pengguna UI, Ubah serangan balik UI, Ubahsuaian UI, adalah teknik berbahaya biasa yang digunakan oleh penyerang untuk membuat beberapa lapisan rumit untuk menipu pengguna untuk mengklik butang atau pautan pada halaman lain apabila mereka ingin mengklik halaman lain. Oleh itu, penyerang berjaya mengawal pengguna untuk mengklik pautan dari sumber luaran, sementara `merampas`nya dari halaman asal. Teknik ini mempunyai kegunaan tanpa had ketika datang kepada eksploitasi pengguna. Contohnya, serangan sedemikian boleh meyakinkan pelanggan untuk memasuki butiran banknya ke halaman pihak ketiga yang mencerminkan asal.

Apa itu Clickjacking

Clickjacking adalah aktiviti berniat jahat, di mana pautan berniat jahat tersembunyi di sebalik butang yang boleh diklik semulajadi atau pautan, membuat pengguna mengaktifkan tindakan yang salah dengan klik mereka.

Contoh yang biasa dan sangat merosakkan teknik ini adalah apabila penyerang yang membina laman web yang mempunyai butang di atasnya yang mengatakan " Klik di sini untuk masukkan pertandingan ". Bagaimanapun, hanya di sebelah butang, mereka meletakkan dalam bingkai yang hampir tidak kelihatan yang menghubungkan ke ` Padam semua kenalan` akaun Gmail anda `. Mangsa cuba untuk mengklik pada butang tetapi sebenarnya mengklik pada butang yang tidak kelihatan. Oleh itu, penyerang telah "merampas" "klik" pengguna, dan dengan itu nama Clickjacking.

Pada masa ini, Clickjacking telah melancarkan perkhidmatan popular termasuk Adobe Flash Player dan Twitter. Sesetengah penyerang mengubah tetapan plugin Adobe Flash. Dengan memuatkan halaman ini ke dalam iframe yang tidak kelihatan, seorang penyerang dapat menipu pengguna untuk mengubah tetapan keselamatan Flash, memberikan kebenaran untuk animasi Flash mana saja untuk menggunakan mikrofon dan kamera komputer.

Bercakap tentang Twitter, clickjacking mendapat cacing Twitter. Serangan ini agak pintar ditujukan kepada pengguna, memaksa mereka untuk mengulang lokasi dan menyebarkannya secara meluas sebelum Twitter melangkah masuk untuk mengawal virus.

Apa itu Cursorjacking

Satu jenis Clickjacking beroperasi menyamar kursor tetikus dan meyakinkan pengguna untuk menggantikan kliknya ke lokasi lain pada halaman yang sama. Kejadian popular Cursorjacking telah ditemui di Mozilla Firefox pada sistem Mac OS X menggunakan kod Flash, HTML dan JavaScript yang juga boleh menyebabkan pengintipan webcam dan pelaksanaan addon berniat jahat yang membolehkan pelaksanaan malware pada komputer pengguna terperangkap.

Apa itu Likejacking

Selain daripada Kursorjacking, terdapat juga kejadian yang dilaporkan Likejacking . Diperkenalkan selepas munculnya Facebook ke dalam budaya pop, istilah yang jelas ini bermaksud merampas orang tersebut menjadi halaman Facebook yang dia tidak sepatutnya tahu.

Tips Perlindungan Penjejakan

Pilihan X-Frame

Penyelesaian ini dari Microsoft adalah salah satu yang paling berkesan terhadap serangan klikjacking pada mesin anda. Anda boleh memasukkan pengepala HTTP Pilihan X-Frame-pada semua halaman web anda. Ini akan menghalang laman web anda diletakkan di dalam bingkai. X-Frame disokong oleh versi terkini kebanyakan pelayar termasuk Safari, Chrome, IE, tetapi mungkin mempunyai beberapa masalah dengan Firefox. Sebilangan besar penggunaan X-Frame adalah sangat mudah, tetapi memerlukan akses ke konfigurasi pelayan web dan bahasa skrip pada server.

Pindahkan unsur pada halaman Anda

Penyerang cuba untuk membuat klikjacking pada halaman web Anda tidak menyedari lokasi elemen semasa dari pihak anda. Dia hanya boleh meletakkan elemen yang dijangkiti berdasarkan tetapan lalai. Adalah idea yang baik untuk mencuba dan memindahkan elemen pada halaman anda; Sebagai contoh, penyerang mungkin ingin menargetkan butang Facebook Like. Dengan menggerakkan unsur tersebut ke lokasi lain, anda dapat dengan mudah mengesan apabila kejadian tersebut berlaku. Satu-satunya masalah dengan penyelesaian ini ialah sangat sukar bagi pengguna biasa untuk melaksanakannya.

URL Satu-Masa

Ini adalah kaedah perlindungan yang agak maju berbanding penjejak klik, yang mungkin cukup berpengetahuan untuk mengatasi penapis asas anda. Anda boleh membuat serangan lebih sukar jika anda memasukkan kod satu kali dalam URL ke halaman penting. Ini sama dengan bukan yang digunakan untuk menghalang CSRF tetapi secara unik dalam cara ia termasuk bukannya dalam URL untuk menyasarkan halaman, bukan dalam bentuk dalam halaman tersebut.

Framebuster Javascript

Cara lain untuk melarikan diri dari cakar serangan klikjacking adalah dengan memeriksa kod Javascript untuk mengesan. Proses ini dipanggil frambusting

Petua Pencegahan Penjelasan

Menilai Perlindungan E-mel

Memasang dan memeriksa penapis spam e-mel yang kuat adalah satu cara untuk mengesan sebarang jenis serangan ke atas akaun anda dengan berkesan. Serangan penculikan biasanya bermula dengan menipu pengguna melalui e-mel ke laman web yang berniat jahat. Ini dilakukan dengan melaksanakan e-mel palsu atau khusus yang kelihatan asli. Menyekat e-mel yang tidak sah mengurangkan serangan berpotensi untuk clickjacking dan membunuh serangan lain juga.

Gunakan Firewall Aplikasi Web

Firewall Aplikasi Web WEFs adalah aspek keselamatan penting dalam hal perniagaan yang mempunyai kebanyakan data mereka dalam internet. Sesetengah firma ini cenderung untuk mengabaikan keperluan seseorang dan akhirnya diserang dengan kejadian klikjik besar. Data terkini menunjukkan bahawa hampir 70 peratus daripada semua SMB telah digodam dalam beberapa kapasiti dalam dekad yang lalu atau lebih. Ia boleh mengambil beban besar dari plat anda, mengurangkan risiko dan kos kurang daripada kerugian yang mungkin anda hadapi.

Malangnya, tidak ada penyelesaian yang sempurna daripada mencegah klikjacking, sebagai penyerang akhirnya akan mencari cara untuk melewati kebanyakan teknik. Walau bagaimanapun, ubat-ubatan yang paling berkesan terhadap serangan tersebut akan menjadi X-Frame dan Javascript FrameBuster.

Sekarang baca : Apakah Klik Penipuan dan Penipuan Pengiklanan Dalam Talian?