Съдържание:
Определение - Какво означава Clickjack Attack?
Атаката с щракване е злонамерена техника, използвана от нападател за записване на кликвания на заразения потребител в Интернет. Това може да се използва за насочване на трафика към конкретен сайт или за да накарате потребител да хареса или приеме приложение във Facebook. По-опасни цели могат да бъдат събиране на чувствителна информация, запазена в браузър, като пароли или инсталиране на злонамерено съдържание.
Този тип атака е известна още като щракване или пренастройване на потребителския интерфейс.
Техопедия обяснява Clickjack Attack
Обикновено експлоатацията на щракване се осъществява чрез поставяне на скрита връзка върху валиден бутон. Експлоатацията обаче може да включва и следното:
- Заблуждаване на потребителите да разрешат техните микрофони и уеб камери чрез Flash
- Да заблудим потребителите, че правят публично достояние техните профили в социалните медии
- Да накарате заразените потребители несъзнателно да следват някого в Twitter
Атаката с щракване може да се реализира с помощта на IFRAME, които са HTML елементи, които черпят съдържание от други места, като други уебсайтове. Clickjack атакуващите могат да вграждат IFRAME на всеки уебсайт и да наслагват невидимия IFRAME върху законния бутон. Когато потребителят натисне легитимния бутон, всъщност се натиска бутонът или връзката на нападателя.
Това, което прави това много мощен начин за атака е, че всъщност се прави в рамките на спецификацията на HTML, което означава, че уебсайтът работи както се очаква. Нападателите просто използват тази функция за злонамерени атаки. Консорциумът от World Wide Web (W3C) се опитва да определи нов стандарт, който ще позволи на уебсайтовете да забранят външната намеса.
Администраторите на уебсайтове може да не знаят, че нещо не е наред, докато не постъпят оплаквания от потребителите. Трудно е да определим, че е извършена атака, защото всичко в сайта изглежда еднакво и елементът clickjack е старателно прикрит като безобиден.
Добавката NoScript за Mozilla, уеб браузъра Gazelle и фрагмента на JavaScript Framekiller са някои мерки, които могат да бъдат използвани за защита от атака с щрак.
