setakit.com
setakit.com

clickjacking یا کلیک دزدی چیست؟

clickjacking یا کلیک جکینگ

Clickjacking حمله ای است که کاربر را فریب می دهد تا بر روی عناصر مختلف صفحه وب که یا نامریی است و یا تبدیل به یک عنصر دیگر می شود، کلیک کند. این امر می تواند منجر به دانلود ناخواسته بدافزار، بازدید از وب سایت های مخرب، ارائه ی اطلاعات مهم، انتقال مبلغ یا خرید آنلاین گردد.

به طور معمول، کلیک جکینگ با به نمایش در آوردن یک صفحه نامریی یا عناصر HTML در داخل یک ifram، در بالای قسمتی که کاربر می تواند ببیند، انجام می شود. کاربر بر این باور است که بر روی صفحات قابل مشاهده کلیک می کند، اما در حقیقت در حال کلیک بر روی عناصر نامریی در یک صفحه اضافی است که به قسمت بالایی آن منتقل شده است.

ممکن است این صفحه نامریی، یک صفحه مخرب باشد یا یک صفحه غیر قانونی که کاربر قصد بازدید از آن را ندارد. به عنوان مثال یک صفحه بر روی سایت بانک کاربر که عمل انتقال مبلغ، در آن مجاز است.

انواع مختلف کلیک جکینگ به شرح زیر است:

  • likejacking: تکنیکی است که در آن دکمه “like” فیس بوک دستکاری شده و باعث می شود صفحه ای که کاربر قصد ندارد آن را لایک کند، لایک شود.
  • Cursorjacking: در این روش مکان نما بر اساس موقعیت کاربر، تغییر می کند. این روش، بر اساس نقطه ضعف های Flash و Firefox بنا شده که در حال حاضر این ایرادات برطرف شده است.

مثال هایی از حمله clickjacking

  • مهاجم، صفحه ای جذاب ایجاد می کند و به کاربر پیشنهادهایی در مورد سفر می دهد.
  • مهاجم بررسی می کند که آیا کاربر به سایت بانک خود وارد لاگین شده یا خیر و اگر که لاگین شده، صفحه ای که کاربر را قادر به انتقال وجه می کند را لود می کند.
  • صفحه انتقال بانک در یک iframe نامریی در قسمت بالای صفحه جایزه رایگان نشان داده می شود به همراه دکمه “confirm transfer” که دقیقا بر روی دکمه “دریافت جایزه” برای کاربر قابل مشاهده است.
  • کاربر از صفحه دیدن می کند و بر روی دکمه “رزرو سفر رایگان” کلیک می کند.
  • در حقیقت، کاربر بر روی iframe نامریی و دکمه “انتقال وجه” کلیک می کند و انتقال مبلغ به حساب مهاجم انجام می شود.
  • کاربر به صفحه ای در مورد دریافت رایگان هدیه هدایت می شود و هیچ اطلاعی ندارد که چه اتفاقی در حال افتادن است.

کلیک جکینگ چیست

در این مثال، نشان داده شده که در حمله کلیک جکینگ، یک عملکرد مخرب (در این مثال روی وب سایت بانک ) قابل ردیابی نیست زیرا کاربر آن را طوری انجام می دهد که گویا به طور قانونی وارد حساب خود شده است.

چطور می توان کلیک جکینگ را کاهش داد؟

دو روش کلی جهت دفاع در برابر click jacking وجود دارد:

  • Client-side- method: رایج ترین آن Frame Busting نامیده می شود. Client-side methods در برخی موارد می تواند موثر باشد، اما به این دلیل که به راحتی می توان از آن عبور کرد، نمی تواند بهترین روش باشد.
  • Server-side-method: متداول ترین آن X-Frame-Option است. Server-side methods به عنوان یک روش موثر در دفاع در برابر کلیک جکینگ، توسط متخصصان امنیتی، توصیه می شود

آیا سایت شما در برابر clickjacking آسیب پذیر است؟

یک روش اصلی جهت بررسی این که آیا سایت شما در برابر clickjacking آسیب پذیر است یا خیر، ایجاد یک صفحه HTML و تلاش جهت قرار دادن یک صفحه مهم از سایت خود در داخل iframe است. البته باید مد نظر داشت که کد تست بر روی سرور وب دیگری اجرا شود، زیرا این یک رفتار معمول در حملات clickjacking است.

می توانید از کد زیر که قسمتی از راهنمای تست WASP است استفاده کنید:

مثالی از کلیک جکینگ ستاک فناوری ویرا

صفحه HTML را در یک مرورگر مشاهده نمایید و می توانید به شرح زیر ارزیابی کنید.

  • در صورتی که با پیام “وب سایت در برابر clickjacking آسیب پذیر است”، روبرو شدید، و در قسمت زیر آن محتوای پیج مهم خود را مشاهده نمودید، این صفحه در برابر clickjacking آسیب پذیر است.
  • اما در صورتی که تنها پیام “وب سایت در برابر clickjacking آسیب پذیر است” ظاهر شد ولی محتوایی از پیج مهم سایت، قابل مشاهده نبود، این صفحه در برابر ساده ترین نوع clickjacking آسیب پذیر نیست.

قابل ذکر است، آزمایش های دیگری نیز می بایست جهت مشاهده این که از کدام روش های ضدکلیک جکینگ استفاده می شود، و اینکه آیا توسط مهاجمان قابل عبور هست یا خیر، می بایست انجام شود.

 

سایر مطالب مرتبط

حمله مرد میانی چیست      حملات فیشینگ    حملات دیداس      تزریق پایگاه داده ستاک فناوری ویرا

         حمله مرد میانی                             فیشینگ                          حملات دیداس                   حملات SQL injection