Kas yra paspaudimas ir kaip nuo to apsisaugoti

[ware_item id=33][/ware_item]

Įsilaužimai ir duomenų išpuoliai daromi įvairiais būdais, kurie padeda užpuolikui pasiekti jūsų informaciją. Bet greičiausiai jūs nežinote apie įsilaužėlių naudojamą techniką „Clickjacking“. Skirtingai nuo socialinės inžinerijos, SQL injekcijų, DDoS atakų ir kitų, „Clickjacking“ yra tas, apie kurį daug nesvarstoma. Tačiau jis yra toks pat kenksmingas ir pažeidžiamas kaip kiti.


Kas yra paspaudimas, kaip jo išvengti ir kur jis randamas? Į visus šiuos klausimus šis straipsnis padėtų atsakyti. tačiau sudėtinga nustatyti šį įsilaužimo būdą.

Kas yra „Clickjacking“?

Spustelėjimas, kaip atrodo pagal pavadinimą, yra būdas, kuriuo vartotojas yra įstrigęs spustelėdamas bet ką. Tai daroma keliais būdais apgaudinėjant vartotoją, nes objektas, kurį jie spustelėjo, skiriasi nuo to, kas jiems atrodo.

UI adresas yra dar vienas terminas, naudojamas paspaudžiant. Taip yra todėl, kad procesas apima techniką, pagal kurią vartotojo laukiama sąsaja yra dedama į kitą skaidrią vartotojo sąsają. Štai kodėl vartotojas, paspaudęs ką nors įdomaus, atrodo, kad kenkia jo įrenginiui ir duomenims.

Kita taktika, naudojama šiame metode, yra tokia, kad atitraukia vartotoją pakeisdama žymeklio padėtį. Vienoje vietoje rodomas žymeklis iš tikrųjų yra kitoje. Per šį užpuoliką gali priversti žmones spustelėti dalykus, kurie galėtų suteikti jų asmeninę informaciją.

„Clickjacking“ apima daugybę tokių neįprastų ir išradingų išpuolių. Panašus buvo neseniai praneštas atvejis, kai nekaltai atrodantis vaizdas „WhatsApp“ galėjo perduoti jūsų sąskaitos valdymą vaizdo siuntėjui, kai tik gavėjas spustelės vaizdą.

Kas yra paspaudimas ir kaip nuo to apsisaugoti

Kai kurie asmenys į „clickjacking“ kategoriją taip pat įtraukia socialinės inžinerijos išpuolius. Pavyzdžiui, „Twitter“ tinkle 2009 m. Buvo išplatintas „Twitter“, kuriame yra nuoroda ir frazė „nespustelėk“. Ir kai kas nors paspaudžia tą patį, jis tviterija perduodamas ir iš jų paskyros. Toks metodas taip pat naudojamas norint užsidirbti pinigų per nuorodas „facebook“.

Jei darote prielaidą, kad spragtelėjimas paspaudžiamas tik paspaudžiant, klystate. Tai taip pat pranešama „Android“ įrenginyje. „Android.Lockdroid.E“, „Android“ išpirkos programinė įranga, naudodama „clickjacking“, kontroliuoja tikslinį įrenginį.

Kaip išvengti paspaudimų

Jei esate svetainės administratorius, galite užkirsti kelią paspaudimams. Bet jei ne, tada nėra daug efektyvių ir naudingų būdų, kaip išvengti paspaudimų.

Tačiau vienas iš labiausiai siūlomų būdų, kaip užkirsti kelią paspaudimams, yra naršymo metu naudoti „Firefox“ be scenarijaus plėtinį. Tas pats kaip ir reklama, vengiant plėtinių, scenarijus be scenarijų neleis įkelti bet kokio scenarijaus, kol iš jūsų nebus patvirtinta.

Ne scenarijus su anti-clickjacking funkcijomis identifikuoja scenarijų, kuris sukuria skaidrias svetainių perdangas. Tam tikri plėtiniai, neleidžiantys scenarijų funkcijų ir atsisiunčiantys programą, taip pat galėtų jus sutaupyti nuo paspaudimų.

Kas yra paspaudimas ir kaip nuo to apsisaugoti

Tačiau svetainės administratoriai yra būdas, kuriuo naudojantis galima pasisemti geriausių paspaudimų stebėjimo priemonių. Vis dėlto dauguma jų yra netaktiški ir techniniai. Bet jei norite, kaip juos įgyvendinti, galite tai sužinoti apsilankę „Clickjacking Defense Cheat Sheet“ iš OWASP.

Norėdami sustabdyti spustelėjimą, taip pat galėtumėte įtraukti „x-frame-options“ HTTP antraštę, kuri yra vienas iš efektyviausių būdų apsaugoti savo svetainę. Tai neleidžia jūsų svetainės turiniui būti įkeltam į rėmelį (žymą) arba „iframe“ (žymą).

Mažinant grėsmę, tai yra veiksmingas būdas išvengti paspaudimų, nes ši taktika naudojama kaip paspaudimų ir kitų kenkėjiškų išpuolių palengvinimo priemonė..

„X-Frame“ parinktis galite naudoti

Yra trys galimos „X-frame-options“ antraštės vertės;

DENY:  puslapis negali būti rodomas rėmelyje, net jei svetainė bando tai padaryti

SAMEORIGINAS: o tai leidžia tik dabartinei svetainei apibrėžti turinį.

LEIDŽIAMA IŠ URŲ:  Puslapis gali būti rodomas tik nurodytos kilmės kadre.

Šiais laikais tikras rūpestis visiems yra bet koks jų „Android“ įrenginių pažeidžiamumas. Norėdami sumažinti paspaudimų tikimybę telefone, atsisiųsdami turėtumėte naudoti autentiškas ir patikimas programas. Atsisiunčiant programas, pvz., „Apple App Store“ ar „Google Play Store“, yra mažiau tikėtina, kad bus įtraukta kenksminga medžiaga, palyginti su bet kokiais trečiųjų šalių šaltiniais, tačiau jos taip pat nėra visiškai apsaugotos nuo tokių spragų.

Programos naršyklės yra labiausiai tikėtina vieta, kur galite susidurti su „clickjacking“ išpuoliais. Taigi, užuot naudojęsi programos naršykle, galite nustatyti numatytąją nuorodų atidarymo jūsų programose elgseną, kad jos būtų atidaromos sistemos naršyklėje. Tai panaikins dar vieną galimybę būti įstrigusiam.

Išvada

Paspaudimų paspaudimas atrodo labiau nepatogus nei yra iš tikrųjų. Tačiau jei užpuolikas ja naudojasi efektyviai ir protingai, tai galėtų suteikti jiems prieigą prie jūsų neskelbtinos informacijos ir asmeninių paskyrų..

Paspaudimas gali padaryti jums didelę žalą, nes dažniausiai tai kyla iš neatsiejamo šaltinio. Norėdami išvengti „Clickjacking“, galite naudoti scenarijų blokavimo plėtinius, tačiau turint omenyje tai, kad tokio tipo priedai taip pat yra šiek tiek prieštaringi..

David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me