Co to jest Clickjacking

Co to jest Clickjacking

15.02.2022 2198

Co to jest Clickjacking?

Powszechna definicja clickjackingu to rodzaj ataku, w którym ofiara klika linki w witrynie, którą uważa za znaną i zaufaną witrynę. Jednak bez wiedzy ofiary w rzeczywistości klikają złośliwą, ukrytą witrynę/warstwę, która została nałożona na znaną witrynę.

Czasami kliknięcie wydaje się wystarczająco nieszkodliwe. Na przykład atakujący przebrany za marketera tworzy post, aby uzyskać polubienia na stronie na Facebooku - jest to strategia znana jako likejacking. Kliknięcie może prowadzić do bardziej niebezpiecznej aktywności, takiej jak nieautoryzowane pobieranie złośliwego oprogramowania, lub może wywołać kod JavaScript w celu włączenia kamery internetowej, zbierania haseł lub rejestrowania naciśnięć klawiszy.

W sklepach internetowych często stosuje się tą technikę w procesie zamówienia w tak zwanym checkout. Na końcu zamówienia można przekierować płatność na inną witrynę nie będącą prawdziwą stroną płatniczą. Na tej stronie zostają zbierane dane karty aby przy jej użyciu dokonać zakupów w innym sklepie. 


Przykładowe typy ataków

Kompletna przezroczysta nakładka

Ta metoda, prawdopodobnie najpopularniejsza strategia przechwytywania kliknięć, polega na nakładaniu legalnej strony internetowej na złośliwą stronę. Prawidłowa strona jest ładowana do niewidocznego elementu iframe, a użytkownik nie ma pojęcia, że ​​pod spodem znajduje się złośliwa strona. Uprawa

Przycinanie, które jest trudniejsze do zaprogramowania, ma miejsce, gdy cyberatakujący nakłada tylko wybrane kontrolki ze złośliwej strony na legalną stronę. Osoba atakująca może zastąpić hiperłącza na legalnej stronie przekierowaniami, zastąpić tekst przycisków na legalnej stronie innym językiem (co wprowadza w błąd ofiarę) lub zmienić treść w sposób wprowadzający użytkownika w błąd.

Ukryta nakładka

Może to być wiele różnych metod ukrywania ale często cyberatakujący tworzy maleńki element iframe, być może tak mały jak piksel 1x1, który może zostać umieszczony pod kursorem myszy i niewykrywalny dla ofiary. W związku z tym każde kliknięcie spowoduje przejście do podstawowej złośliwej strony.


Zabezpieczenie - przenieś bieżącą ramkę na górę

Ta strategia, znana również jako X-Frame-Options, opiera się na nagłówku odpowiedzi — lub kodzie używanym do wskazania, czy przeglądarka powinna mieć zezwolenie na renderowanie strony w ramce, jako osadzoną lub jako obiekt — gdy strony internetowe są przesyłane przez przeglądarkę. Nagłówek zapewnia webmasterowi kontrolę nad wykorzystaniem elementów iframe lub obiektów. Dzięki temu dodatkowemu kodowi w nagłówku strony webmaster może zdecydować, czy można zabronić umieszczania strony internetowej w ramce.

X-Frame został po raz pierwszy opracowany dla Internet Explorera 8 i nie jest spójny we wszystkich przeglądarkach. Zespół programistów internetowych będzie musiał wziąć to pod uwagę podczas wdrażania opcji X-Frame-Options. Używane razem, CSP i X-Frame-Options mogą służyć jako silna obrona przed atakiem typu clickjacking.


Termin clickjacking

Clickjacking - znany również jako atak na interfejs użytkownika, został ukuty przez Jeremiaha Grossmana i Roberta Hansena w 2008 roku.

Chociaż clickjacking może wydawać się podszywaniem — polegającym na tym, że cyberatakujący odtwarza witryny lub strony docelowe, aby nakłonić użytkowników do przekonania, że fałszywe strony są oryginalnymi, legalnymi stronami — jest to jednak znacznie bardziej wyrafinowane. Strona internetowa, na którą patrzy ofiara w programie clickjackingu, jest prawdziwą witryną znanego, zaufanego podmiotu. Atakujący dodał jednak niewidoczną nakładkę na swoją zawartość za pomocą różnych technologii HTML, w tym niestandardowych kaskadowych arkuszy stylów (CSS) i iframe, które umożliwiają przeniesienie treści z innych witryn na inną witrynę.


Jak zabezpieczyć sklep OpenCart przed Clickjackingem

Przygotowaliśmy specjalną nakładkę aby zabezpieczyć sklep przed wyświetleniem sklepu techniką iframe.

Program sprawdza czy sklep jest wyświetlany z tej samej domeny i jeśli nie to ukrywa jego zawartość tym samym uniemożliwia potencjalnej ofierze na poruszanie się po sklepie.



Sprawdź swoją stronę

Przygotowaliśmy specjalną stronę gdzie podają adres swojej strony lub sklepu możesz sprawdzić czy jest podatna na atak typu Clickjacking

Jeśli chcesz abyśmy zabezpieczyli twoją stronę napisz do nas w tej sprawie.

https://opencart.com.pl/tools/clickjackingtest