Clickjacking คืออะไรและป้องกันตัวเองอย่างไร

[ware_item id=33][/ware_item]

การแฮ็กและการโจมตีข้อมูลนั้นทำได้หลายวิธีซึ่งช่วยให้ผู้โจมตีสามารถเข้าถึงข้อมูลของคุณได้ แต่คุณมีแนวโน้มที่จะไม่ทราบถึงเทคนิค Clickjacking ที่แฮ็กเกอร์ใช้ ซึ่งแตกต่างจากวิศวกรรมทางสังคม, การฉีด SQL, การโจมตี DDoS, และอื่น ๆ Clickjacking เป็นสิ่งที่ไม่ได้กล่าวถึงมาก อย่างไรก็ตามมันมีอันตรายและมีความเสี่ยงเท่า ๆ กัน.


Clickjacking คืออะไรจะป้องกันได้อย่างไรและพบได้ที่ไหน? สำหรับคำถามเหล่านี้ทั้งหมดบทความนี้จะช่วยตอบ แม้กระนั้นก็เป็นเรื่องน่าประหลาดใจที่พบวิธีการแฮ็ก.

Clickjacking คืออะไร?

Clickjacking ตามชื่อดูเหมือนเป็นเทคนิคที่ผู้ใช้จะถูกดักจับผ่านการคลิกอะไร ทำได้หลายวิธีโดยการหลอกผู้ใช้เนื่องจากวัตถุที่พวกเขาคลิกนั้นแตกต่างจากที่พวกเขาดูเหมือน.

การกำหนดที่อยู่ UI เป็นคำอื่นที่ใช้สำหรับการคลิกการคลิก นี่เป็นเพราะกระบวนการนี้รวมถึงเทคนิคที่ผู้ใช้คาดหวังว่าจะถูกนำมาใช้ภายใต้อินเทอร์เฟซผู้ใช้โปร่งใสอื่น นั่นเป็นสาเหตุที่ผู้ใช้คลิกที่สิ่งที่น่าสนใจกลายเป็นอันตรายต่ออุปกรณ์และข้อมูลของพวกเขา.

ชั้นเชิงอื่น ๆ ที่ใช้ในวิธีนี้คือการทำให้ผู้ใช้เสียสมาธิโดยการเปลี่ยนตำแหน่งเคอร์เซอร์ เคอร์เซอร์ที่ปรากฏที่ตำแหน่งหนึ่งจะอยู่ในตำแหน่งอื่น ผ่านทางผู้โจมตีนี้สามารถทำให้คนคลิกในสิ่งที่สามารถให้ข้อมูลส่วนบุคคลของพวกเขา.

Clickjacking มีช่วงของการโจมตีที่ผิดปกติและแยบยลเช่นนั้น สิ่งที่คล้ายกันคือสิ่งที่ถูกรายงานเมื่อเร็ว ๆ นี้ซึ่งรูปภาพที่ดูไร้เดียงสาบน WhatsApp สามารถถ่ายโอนการควบคุมบัญชีของคุณไปยังผู้ส่งภาพเมื่อผู้รับภาพถูกคลิกโดยผู้รับ.

Clickjacking คืออะไรและป้องกันตัวเองอย่างไร

การโจมตีทางสังคม - วิศวกรรมยังรวมอยู่ในหมวดหมู่ clickjacking โดยบางคน ตัวอย่างเช่นใน twitter ทวีตที่มีลิงก์และวลี ‘ไม่คลิก’ ถูกหมุนเวียนในปี 2009 และเมื่อบุคคลใดคลิกมันในสิ่งเดียวกันมันก็ทวีตจากบัญชีของพวกเขาด้วย วิธีการดังกล่าวยังใช้เพื่อหารายได้ผ่านลิงก์ใน Facebook.

หากคุณสมมติว่าการคลิกผ่านนั้นดำเนินการผ่านการคลิกคุณจะเข้าใจผิด มีการรายงานบนอุปกรณ์ Android ด้วย Android.Lockdroid.E, android ransomware ได้รับการควบคุมไปยังอุปกรณ์เป้าหมายผ่าน clickjacking.

วิธีป้องกัน Clickjacking

หากคุณเป็นผู้ดูแลเว็บไซต์คุณสามารถป้องกันการคลิก แต่ถ้าไม่เช่นนั้นมีวิธีที่มีประสิทธิภาพและมีประโยชน์มากมายที่จะหลีกเลี่ยงไม่ให้มีการคลิกผ่าน.

อย่างไรก็ตามหนึ่งในวิธีที่แนะนำมากที่สุดในการป้องกันการคลิกคือการใช้ส่วนขยาย Firefox แบบไม่ใช้สคริปต์ขณะเรียกดู เช่นเดียวกับโฆษณาที่หลีกเลี่ยงส่วนขยายไม่มีสคริปต์จะป้องกันไม่ให้สคริปต์โหลดจนกว่าจะมีการตรวจสอบสิทธิ์จากคุณ.

ไม่มีสคริปต์ที่มีคุณสมบัติป้องกันการคลิกแจ็คเก็ตจะระบุสคริปต์ที่สร้างการซ้อนทับแบบโปร่งใสบนเว็บไซต์ ส่วนขยายบางอย่างที่ป้องกันคุณลักษณะของสคริปต์และการดาวน์โหลดแอปยังช่วยให้คุณประหยัดจากการคลิกผ่าน.

Clickjacking คืออะไรและป้องกันตัวเองอย่างไร

อย่างไรก็ตามผู้ดูแลไซต์นั้นเป็นวิธีที่จะได้รับการป้องกันการคลิกผ่านที่ดีที่สุด แต่ส่วนใหญ่ของพวกเขาลึกซึ้งและเทคนิค แต่ถ้าคุณต้องการวิธีการนำมันไปใช้คุณสามารถตรวจสอบได้ที่ Clickjacking Defense Cheat Sheet จาก OWASP.

ในการหยุด clickjacking คุณสามารถรวมส่วนหัว HTTP x-frame-options HTTP ซึ่งเป็นหนึ่งในวิธีที่มีประสิทธิภาพที่สุดในการปกป้องไซต์ของคุณ มันขัดขวางเนื้อหาของเว็บไซต์ของคุณที่จะโหลดในเฟรม (แท็ก) หรือ iframe (แท็ก).

การลดภัยคุกคามนั้นเป็นวิธีที่มีประสิทธิภาพในการหลีกเลี่ยง clickjacking เนื่องจากกลยุทธ์นี้ใช้เป็นผู้อำนวยความสะดวกในการโจมตีสำหรับ clickjacking เช่นเดียวกับการโจมตีที่เป็นอันตรายอื่น ๆ.

ตัวเลือก X-Frame คุณสามารถใช้

มีสามค่าที่เป็นไปได้สำหรับส่วนหัว X-frame-options;

ปฏิเสธ:  ไม่สามารถแสดงหน้าในเฟรมแม้ว่าไซต์จะพยายามทำเช่นนั้น

SAMEORIGIN: ซึ่งอนุญาตให้ไซต์ปัจจุบันเฟรมเฟรมเนื้อหาเท่านั้น.

อนุญาตจาก uri:  หน้าสามารถแสดงในเฟรมบนจุดเริ่มต้นที่ระบุเท่านั้น.

ความกังวลที่แท้จริงสำหรับทุกคนในปัจจุบันคือความอ่อนแอในอุปกรณ์ Android ของพวกเขา เพื่อลดโอกาสในการคลิกแจ็คกิ้งบนโทรศัพท์ของคุณคุณควรใช้แอพของแท้และเชื่อถือได้เพื่อการดาวน์โหลด การดาวน์โหลดแอพเช่น Apple App Store หรือ Google Play Store มีโอกาสน้อยที่จะรวมสิ่งที่เป็นอันตรายเมื่อเปรียบเทียบกับแหล่งที่มาของบุคคลที่สาม.

เบราว์เซอร์ในแอพเป็นสถานที่ที่คุณสามารถเผชิญหน้ากับการโจมตีด้วยคลิกแจ็ค ดังนั้นแทนที่จะใช้เบราว์เซอร์ในแอพคุณสามารถตั้งค่าการทำงานเริ่มต้นสำหรับการเปิดลิงค์ในแอพของคุณเพื่อเปิดในเบราว์เซอร์ระบบ นี่จะเป็นการกำจัดโอกาสที่คุณจะถูกขังอยู่อีกครั้งหนึ่ง.

ข้อสรุป

Clickjacking ดูเหมือนจะสร้างความรำคาญมากกว่าที่เป็นอยู่จริงๆ อย่างไรก็ตามหากมีการใช้อย่างมีประสิทธิภาพและชาญฉลาดกว่าผู้โจมตีกว่าจะสามารถให้พวกเขาเข้าถึงข้อมูลที่ละเอียดอ่อนและบัญชีส่วนบุคคลของคุณ.

Clickjacking อาจก่อให้เกิดอันตรายร้ายแรงกับคุณโดยปกติมาจากแหล่งที่ไม่เลือกปฏิบัติ เพื่อหลีกเลี่ยง Clickjacking คุณสามารถใช้ส่วนขยายการบล็อกสคริปต์ แต่คำนึงถึงสิ่งที่แอดออนเหล่านี้มีการโต้เถียงเล็กน้อย.

David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me