Зміст:
Визначення - Що означає Clickjack Attack?
Атака натискань - це шкідливий прийом, який використовується зловмисником для запису кліків зараженого користувача в Інтернеті. Це можна використовувати для спрямування трафіку на певний сайт або для того, щоб користувач подобався або приймав додаток у Facebook. Більш небезпечними цілями може бути збір конфіденційної інформації, збереженої у веб-переглядачі, наприклад паролі, або встановлення шкідливого вмісту.
Цей тип атаки також відомий як переключення кліків або перенастроювання інтерфейсу користувача.
Техопедія пояснює атаку Clickjack
Зазвичай експлуатація клацання здійснюється шляхом розміщення прихованого посилання над дійсною кнопкою. Однак експлуатація може також включати в себе наступне:
- Обман користувачів увімкненням їх мікрофонів та веб-камер через Flash
- Обдурити користувачів, щоб оприлюднити їх дані в соціальних мережах
- Змусити заражених користувачів несвідомо слідкувати за ким-небудь у Twitter
Атака натискань може бути реалізована за допомогою IFRAME, що представляють собою HTML-елементи, які виводять вміст з інших місць, таких як інші веб-сайти. Зловмисники Clickjack можуть вставляти IFRAME на будь-який веб-сайт і накладати невидимий IFRAME поверх законної кнопки. Коли користувач натискає законну кнопку, фактично натискається кнопка або посилання нападника.
Що робить це дуже потужним способом атаки, це те, що він фактично робиться в межах специфікації HTML, а це означає, що веб-сайт працює так, як очікувалося. Зловмисники просто використовують цю функцію для зловмисних атак. Всесвітній веб-консорціум (W3C) намагається визначити новий стандарт, який дозволить веб-сайтам забороняти зовнішні втручання.
Адміністратори веб-сайтів можуть не знати, що щось не так, поки скарги не надійдуть від користувачів. Важко визначити, що сталася атака, оскільки все на сайті виглядає однаково, а елемент clickjack був ретельно замаскований як нешкідливий.
Додаток NoScript для Mozilla, веб-браузер Gazelle та фрагмент JavaScript Framekiller - це деякі заходи, які можна використовувати для захисту від атаки натискань.
