Що таке Clickjacking атаки? Поради щодо захисту та профілактики

ClickJacking, також відомий іменами, як Користувальницький інтерфейс виправлення атаки, UI захист від нападу, Користувацький інтерфейс- це загальна шкідлива техніка, яка використовується зловмисниками для створення декількох складних шарів, щоб змусити користувача натиснути кнопку або посилання на іншій сторінці, коли вони мали намір натиснути на іншу сторінку. Таким чином, зловмисник успішно керує користувачем натисканням посилання з зовнішнього джерела, а "викрадення" його з вихідної сторінки. Ця техніка має необмежені можливості для експлуатації користувачів. Наприклад, така атака може переконати клієнтів ввести свої банківські реквізити на сторонню сторінку, яка відображає оригінальну.

Що таке Clickjacking

Clickjacking - це шкідлива активність, в якій шкідливі посилання заховані за справжніми кнопками або посиланнями, які можна натискати, і користувачі натискають активну помилку.

Clickjacking мошенничества

Загальним і надзвичайно руйнівним прикладом цієї техніки може бути, коли зловмисник створює веб-сайт, на якому є кнопка, яка говорить:Клацніть тут, щоб увійти до конкурсу". Проте прямо біля кнопки вони вставляють майже невидимий кадр, який посилається на "Видалити всі контакти "вашого облікового запису Gmail". Потерпілий намагається натиснути кнопку, але насправді натискає на невидиму кнопку. Отже, зловмисник "підхопив" "клік" користувача, а отже і ім'я Clickjacking.

Останнім часом Clickjacking перейшов у популярні служби, включаючи Adobe Flash Player і Twitter. Деякі зловмисники змінили налаштування плагін Adobe Flash. Завантажуючи цю сторінку в невидимку iframe, зловмисник може змусити користувача змінити налаштування безпеки Flash, надаючи дозвіл будь-якій Flash-анімації використовувати мікрофон комп'ютера та камеру.

Розмовляючи про Twitter, clickjacking потрапив у черв'як Twitter. Ця атака була досить розумно орієнтована на користувачів, змусивши їх відмовитися від місця розташування та широко розповсюджувати її, перш ніж Twitter вступив у дію, щоб контролювати вірус.

Що таке Cursorjacking

Одним з видів Clickjacking працює маскування курсора миші та переконання користувача замінити його кліки на інше місце на тій же сторінці. Популярний інцидент Курсорування був виявлений в Mozilla Firefox у системах Mac OS X за допомогою коду Flash, HTML та JavaScript, що також може призвести до шпигунства веб-камери та виконання шкідливого аддону, що дозволяє виконувати шкідливе програмне забезпечення на комп'ютері уловленого користувача.

Що таке Likejacking

Окрім Cursorjacking, також було повідомлено про випадки Подібно жартувати. Займаючись популярністю після появи Facebook у поп-культурі, цей самозрозумілий термін означає викрадення в особу на смак сторінки Facebook, про яку йому не слід спочатку знати.

Поради щодо захисту від Clickjacking

Параметри X-Frame

Це рішення від корпорації Майкрософт є однією з найефективніших з метою нанесення ударів на вашому комп'ютері. Ви можете включити HTTP-заголовок X-Frame-Options на всі ваші веб-сторінки. Це не дозволить розміщувати ваш сайт у кадрі. X-Frame підтримується найновішими версіями більшості браузерів, включаючи Safari, Chrome, IE, але може мати деякі проблеми з Firefox. Велика частина використання X-Frame полягає в тому, що вона надзвичайно проста, але потребує доступу до конфігурації веб-сервера та сценаріїв на сервері.

Перемістіть елементи на свої сторінки

Зловмисник, який намагається розмістити натискання на ваші веб-сторінки, не знає про поточні розташування елементів з вашого боку. Він може розміщувати лише свої заражені елементи на основі стандартних параметрів. Дуже добре спробувати перемістити елементи на свою сторінку; наприклад, нападники можуть збиратися націлювати на кнопку Facebook Like. Переміщаючи цей елемент в інше місце, ви можете легко виявити, коли відбувається такий інцидент. Єдина проблема з цим рішенням - це надзвичайно важко для звичайних користувачів виконувати.

Одноразові URL-адреси

Це досить покращений спосіб захисту від клікерів, які можуть бути достатньо обізнаними, щоб перевершити ваші основні фільтри. Ви можете зробити напад набагато складніше, якщо ви включите одноразовий код у URL-адреси на важливі сторінки. Це схоже на nonces, що використовуються для запобігання CSRF, але унікальним, оскільки він включає nonces у URL-адресах для націлювання на сторінки, а не на форми на цих сторінках.

Framebuster Javascript

Ще один спосіб уникнути атаки з натисканням на натискання - перевірте код Javascript для виявлення. Цей процес називається frambusting

Підказки щодо запобігання натисканням натискань

Оцініть захист електронної пошти

Встановлення та перевірка сильного електронного спаму-фільтра - це один із способів ефективного виявлення будь-яких нападів на ваші облікові записи. Clickjacking атаки зазвичай починаються з обману користувача через електронну пошту в відвідування зловмисного сайту. Це зроблено шляхом впровадження підроблених або спеціально зібраних електронних листів, які виглядають справжнім. Блокування нелегітимних електронних листів зменшує потенційну атаку на нанесення кліків та багатьох інших атак.

Використовуйте брандмауэри веб-додатків

Веб-застосунок Брандмауери WEF - це важливий аспект безпеки у випадку компаній, які більшу частину своїх даних мають в Інтернеті. Деякі з цих фірм, як правило, ігнорують потребу в одній і в кінцевому підсумку отримують атаку з масовими інцидентами про клацання. Останні дані показали, що майже в 70 відсотків усіх SMB було зламано певною мірою протягом останніх десяти років. Це може зайняти величезний тягар з вашої тарілки, значно зменшує ризики та витрати, менші за втрату, яку ви можете зіткнутися.

На жаль, немає ідеального рішення щодо запобігання "clickjacking", оскільки нападники, врешті-решт, знайдуть способи пройти більшість методів. Незважаючи на це, найефективнішими засобами проти такого нападу будуть X-Frame і Javascript FrameBuster.

джерело

Схожі теми

залишити коментар

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються ваші дані коментарів.