Beth yw Ymosodiadau Clicio Hwn? Awgrymiadau Amddiffyn ac Atal

Clickjacking, a elwir hefyd gan enwau fel Ymosodiad i unioni'r Rhyngwyneb Defnyddiwr, Ymosodiad iawndal UI, Ymddeoliad UI, yn dechneg maleisus gyffredin a ddefnyddir gan ymosodwyr i greu haenau cymhleth lluosog i guro defnyddiwr i glicio ar botwm neu ddolen ar dudalen arall pan oeddent yn bwriadu clicio ar dudalen arall. Felly, mae'r ymosodwr yn rheoli'r defnyddiwr yn llwyddiannus i glicio ar ddolen o ffynhonnell allanol, tra'n 'herwgipio' o'r dudalen wreiddiol. Mae gan y dechneg hon ddefnyddiau diderfyn o ran ecsbloetio defnyddwyr. Er enghraifft, gall ymosodiad o'r fath argyhoeddi cwsmeriaid i roi eu manylion banc i mewn i dudalen trydydd parti sy'n adlewyrchu'r un gwreiddiol.

Beth yw Clicio Clic

Mae Clickjacking yn weithgaredd maleisus, lle mae cysylltiadau maleisus yn cael eu cuddio y tu ôl i fotymau neu gysylltiadau gwirioneddol y gellir eu clicio, gan wneud defnyddwyr i weithredu gweithred anghywir gyda'u clic.

twyllo twyllo

Gallai enghraifft gyffredin a dinistriol o'r dechneg hon fod pan fydd ymosodwr sy'n adeiladu gwefan sydd â botwm arno sy'n dweud "Cliciwch yma i fynd i mewn i'r gystadleuaeth". Fodd bynnag, ychydig wrth ymyl y botwm, maent yn rhoi ffrâm bron anweledig sy'n cysylltu â'r 'Dileu pob cyswllt 'o'ch cyfrif Gmail'. Mae'r dioddefwr yn ceisio clicio ar y botwm ond yn hytrach, cliciwch ar y botwm anweledig. Felly, mae'r ymosodwr wedi "herwgipio" y "cliciwr" y defnyddiwr, ac felly'r enw Clickjacking.

Yn ddiweddar, mae Clickjacking wedi gwneud ei ffordd i wasanaethau poblogaidd, gan gynnwys Adobe Flash Player a Twitter. Mae rhai ymosodwyr wedi newid gosodiadau ategyn Adobe Flash. Drwy lwytho'r dudalen hon i mewn i osrame anweledig, gallai ymosodwr guro defnyddiwr i newid gosodiadau diogelwch Flash, gan roi caniatâd i unrhyw animeiddiad Flash ddefnyddio meicroffon a chamera'r cyfrifiadur.

Wrth siarad am Twitter, cafodd clicio ar y llyngyr Twitter. Roedd yr ymosodiad hwn wedi'i dargedu'n glyfar i ddefnyddwyr, gan orfodi iddynt ail-lunio lleoliad a'i ledaenu'n helaeth cyn i Twitter gamu i mewn i reoli'r firws.

Beth yw Cursorjacking

Mae un math o Clickjacking yn gweithredu cuddio cyrchwr y llygoden ac yn argyhoeddi'r defnyddiwr i gymryd lle ei gliciau i leoliad arall ar yr un dudalen. Digwyddiad poblogaidd o Cursorjacking Fe'i darganfuwyd yn Mozilla Firefox ar systemau Mac OS X gan ddefnyddio cod Flash, HTML a JavaScript a all hefyd arwain at ysbïo'r we-gamerâu a gweithredu addon maleisus gan ganiatáu gweithredu malware ar gyfrifiadur y defnyddiwr sydd wedi'i ddal.

Beth yw Likejacking

Ar wahân i Cursorjacking, cafwyd gwybod hefyd am ddigwyddiadau Likejacking. Wedi'i wneud yn boblogaidd ar ôl dyfodiad Facebook i mewn i ddiwylliant poblogaidd, mae'r term hunan-esboniadol hwn yn golygu herwgipio i'r person i mewn i hoff tudalen Facebook na ddywedir amdano yn wreiddiol.

Cynghorau Amddiffyn Clicio

Dewisiadau Ffrâm X

Mae'r ateb hwn gan Microsoft yn un o'r ymosodiadau clicio ar y peiriant mwyaf effeithiol yn erbyn eich peiriant. Gallwch gynnwys pennawd HTTP X-Frame-Options yn eich holl dudalennau gwe. Bydd hyn yn atal eich safle rhag cael ei roi o fewn ffrâm. Cefnogir X-Frame gan fersiynau diweddaraf y rhan fwyaf o borwyr gan gynnwys Safari, Chrome, IE, ond efallai y bydd ganddo rai materion gyda Firefox. Y rhan wych o ddefnyddio X-Frame yw ei bod hi'n hynod o syml, ond mae angen mynediad at gyfluniad gweinydd gwe a iaith sgriptio ar y gweinydd.

Symud elfennau ar eich tudalennau

Nid yw'r ymosodwr yn ceisio gosod clickjacking ar eich tudalennau gwe yn ymwybodol o leoliadau presennol elfennau o'ch ochr chi. Dim ond yn gosod ei elfennau heintiedig yn seiliedig ar y gosodiadau diofyn. Mae'n syniad da ceisio cynnig elfennau ar eich tudalen; er enghraifft, efallai y bydd yr ymosodwyr yn bwriadu targedu'r botwm Facebook Like. Drwy symud yr elfen honno i leoliad arall, gallwch chi ddarganfod yn hawdd pan fydd digwyddiad o'r fath yn digwydd. Yr unig fater gyda'r ateb hwn yw ei fod yn hynod o galed i ddefnyddwyr arferol ei wneud.

URLau Un Amser

Mae hon yn ddull eithaf datblygedig o amddiffyn yn erbyn clicwyr-glic, a allai fod yn ddigon gwybodus i ragori ar eich hidlwyr sylfaenol. Efallai y byddwch yn gwneud yr ymosodiad yn llawer anoddach os ydych chi'n cynnwys cod un-amser mewn URLau i dudalennau hanfodol. Mae hyn yn debyg i'r rhai nad ydynt yn cael eu defnyddio i atal CSRF ond yn unigryw yn y ffordd y mae'n cynnwys nad ydynt mewn URLau i dargedau, nid mewn ffurflenni o fewn y tudalennau hynny.

Javascript fframebwr

Ffordd arall o ddianc y claws o ymosodiad clicio yw trwy wirio'r cod Javascript i ganfod. Gelwir y broses hon yn fframio

Awgrymiadau Atal Clicio

Gwerthuso Diogelu E-bost

Mae gosod a gwirio hidlydd sbam e-bost cryf yn un ffordd o ganfod yn effeithiol unrhyw fath o ymosodiadau ar eich cyfrifon. Fel arfer, mae ymosodiadau clicio yn dechrau trwy guro defnyddiwr trwy e-bost i ymweld â safle maleisus. Gwneir hyn drwy weithredu negeseuon e-bost wedi'u creu neu wedi'u crefftio'n arbennig sy'n edrych yn ddilys. Mae blocio negeseuon e-bost anghyfreithlon yn lleihau ymosodiad posibl ar gyfer clicio a chludo ymosodiadau eraill hefyd.

Defnyddiwch Waliau Tân Cais Gwe

Cais Gwe Mae waliau tân o WEF yn agwedd bwysig ar ddiogelwch yn achos busnesau sydd â'r rhan fwyaf o'u data ar y Rhyngrwyd. Mae rhai o'r cwmnļau hyn yn tueddu i anwybyddu angen un ac yn mynd i gael eu hymosod yn ddiweddarach gyda digwyddiadau clicio aruthrol. Mae data diweddar wedi dangos bod bron 70 y cant o bob SMB yn cael eu hacio mewn rhyw fodd yn ystod y degawd diwethaf. Gall gymryd baich enfawr oddi ar eich plât, yn lleihau risgiau yn sylweddol ac yn costio llai na'r golled y gallech ei wynebu.

Yn anffodus, nid oes ateb perffaith rhag atal clicio, gan y bydd ymosodwyr yn dod o hyd i ffyrdd o fynd trwy'r rhan fwyaf o'r technegau. Er hynny, y meddyginiaethau mwyaf effeithiol yn erbyn ymosodiadau o'r fath fydd y Ffrâm X a'r Javascript FrameBuster.

ffynhonnell

Post Perthnasol

Ad a Ateb

Mae'r wefan hon yn defnyddio Akismet i leihau sbam. Dysgwch sut mae eich data sylwadau yn cael ei brosesu.