معرفی
از زمان ظهور آن در سال 2002، حملات clickjacking در طول سال ها گسترده شده است. ماهیت مخفیانه و تکنیک های مختلف آنها آنها را به یک تهدید مشترک برای هر سازمان و به طور کلی هر کاربر اینترنتی تبدیل می کند. این مقاله به اختصار Clickjacking را توضیح میدهد، با این حال، هدف اصلی آن بیان برخی از بهترین روشهای محافظت در برابر کلیک جک است.
کلیک جک
این یک تکنیک مخفیانه است که توسط مهاجمان برای فریب دادن کاربران به کلیک بر روی عنصری در صفحه وب که دارای چندین قاب مخفی/مدر روی آن است استفاده میکند، به طوری که ممکن است دادههای کاربر را بدزدند، آنها را وادار کنند صفحاتی را که قصد دنبال کردن/پسندیدن آنها را ندارند دنبال کنند/لایک کنند. به وبکم خود دسترسی داشته باشند یا در برخی موارد شوم از حسابهایشان پول انتقال دهند. کاربران از طریق اینترنت از کلیک جک آگاه شدهاند، اما نقطه ضعف این شکل از حمله این است که هیچوقت وقتی مورد حمله قرار میگیرد متوجه آن نمیشود.
رایجترین تکنیک، کلیک جک کلاسیک است که در آن مهاجم از یک قاب مخفی در بالای یک صفحه فریبنده استفاده میکند که صفحه را فریب میدهد تا روی آن کلیک کند. رایجترین عناصر شامل پیوندهای ویدیویی پرطرفدار، یا دکمههای 'CLAIM YOUR PIZE' در میان بسیاری از ویژگیهای جالب دیگر است که ممکن است کاربر را فریب دهد تا روی دکمه/پیوند کلیک کند، به گونهای که ممکن است کاربر را فریب دهد تا هر سوء قصدی انجام دهد. در بیشتر موارد، کاربران آگاه نیستند که فریب آنها را برای انتقال پول یا هر شکل دیگری از سوء استفاده می کنند.
Clickjacking یک حمله سمت کلاینت است زیرا از آسیب پذیری های مرورگرها استفاده می کند. با این اوصاف، بیایید به بهترین روش برای محافظت از مرورگر خود و همچنین برنامه خود در برابر کلیک جک نگاه کنیم.
جلوگیری
در این مقاله، ما بر روی چگونگی سوء استفاده از آسیبپذیریهای کلیک جک تمرکز نمیکنیم، بلکه بر پیشگیری از آن تمرکز میکنیم.
محافظت از مرورگر
از آنجایی که کلیک جک با استفاده از مرورگر انجام می شود، همچنین ضروری است که قبل از هر چیز، از ابزاری که مهاجمان برای اعمال سوء استفاده از آن استفاده می کنند محافظت کنیم. با کمک افزونه های مرورگر مانند NoScript و NotScript که برخی از کدهای جاوا اسکریپت را فراخوانی می کنند که دامنه های غیرقابل اعتماد را از انجام اقدامات در مرورگر شما منع می کند. در ابتدا، این ممکن است آزار دهنده باشد. با این حال، زمانی که کاربر متوجه تاثیر کلیک جک شد، میخواهد این افزونهها اجرا شوند. سازمانها نیز باید اطمینان حاصل کنند یا به کاربران خود آموزش دهند که باید از چنین ابزارهایی استفاده کنند تا حفاظت به یک سپر دو طرفه در برابر کلیک جک تبدیل شود.
Framebusting/Framebreaking/Framekiller
از سوی دیگر، سازمانها وظیفه دارند از کاربران خود در برابر کلیک جک محافظت کنند و یکی از اولین روشهای مورد استفاده قرار دادن کدهای جاوا اسکریپت بود که استفاده از فریمها را از گنجاندن در آن جلوگیری میکرد.یابا استفاده از top.location یا گاهی اوقات اگر نه top.location در صفحات، آنها نمی خواستند قاب شوند. با گذشت زمان، توسعه دهندگان متوجه شدند که مهاجمان راهی برای دور زدن این مانع ابداع کرده اند و شروع به یافتن تکنیک های دیگری برای جلوگیری از کلیک جک کردند.
X-Frame-Options (XOF)
هدر X-Frame-Options HTTP Response یکی از متداول ترین تکنیک های دفاعی در برابر کلیک جک است. برای تعیین اینکه آیا یک صفحه ممکن است در یک صفحه تعبیه شود استفاده می شود،