Clickjacking چیست و چگونه می توانید خود را از آن محافظت کنید

[ware_item id=33][/ware_item]

هک کردن و حمله به داده ها از طریق روش های مختلفی انجام می شود که به یک مهاجم کمک می کند تا به اطلاعات شما دسترسی پیدا کند. اما به احتمال زیاد شما از تکنیکی که هکرها برای استفاده در Clickjacking استفاده کرده اند آگاهی ندارند. بر خلاف مهندسی اجتماعی ، تزریق SQL ، حملات DDoS و دیگران ، Clickjacking موردی است که زیاد مورد بحث قرار نمی گیرد. با این حال ، مانند دیگران مضر و آسیب پذیر است.


چه کلیک کنید ، چگونه می توان از آن جلوگیری کرد و از کجا پیدا شد؟ برای همه این سؤالات ، این مقاله به پاسخ دادن کمک می کند. با این حال ، شناسایی این روش هک کردن مزاحم است.

Clickjacking چیست?

Clickjacking همانطور که از نام خود به نظر می رسد تکنیکی است که توسط آن کاربر می تواند با کلیک کردن روی هر چیزی گرفتار شود. این کار به چندین طریق با فریب دادن کاربر انجام می شود زیرا شیء موردنظر روی آن متفاوت است که به نظر آنها می رسد.

آدرس دهی UI اصطلاح دیگری است که برای کلیک کردن استفاده می شود. این امر به این دلیل است که این فرایند شامل تکنیکی است که توسط آن رابط مورد انتظار کاربر در رابط کاربری شفاف دیگری قرار می گیرد. به همین دلیل است که کاربر با کلیک بر روی موارد جالب به نظر می رسد برای دستگاه و داده های خود مخرب است.

یک تاکتیک دیگر که در این روش به کار رفته است یکی از منحرف کردن کاربر از طریق تغییر موقعیت مکان نما است. مکان نما نمایش داده شده در یک موقعیت در واقع در حالت دیگری است. از طریق این مهاجم می تواند مردم را بر روی مواردی که می توانند اطلاعات شخصی خود را کلیک کنند کلیک کنند.

Clickjacking طیف وسیعی از حملات غیرمعمول و مبتکرانه را شامل می شود. مشابه موردی است که اخیراً گزارش شده است ، و در صورت کلیک روی تصویر توسط گیرنده ، یک تصویر به دنبال معصومیت در واتساپ می تواند کنترل حساب شما را به فرستنده تصویر منتقل کند..

Clickjacking چیست و چگونه می توانید خود را از آن محافظت کنید

حملات مهندسی اجتماعی نیز توسط برخی افراد در رده کلیک کلیک می شود. به عنوان مثال ، در توییتر ، توییت درج شده با پیوند و عبارت "کلیک نکن" در سال 2009 منتشر شد. وقتی هر شخصی روی همین موضوع کلیک کند ، از حساب آنها نیز توییت می شود. از چنین روشی برای کسب درآمد از طریق پیوندها در فیس بوک نیز استفاده می شود.

اگر فرض می کنید که clickjacking فقط با کلیک انجام شده است ، آن را اشتباه می گیرید. همچنین در دستگاه اندرویدی گزارش شده است. Android.Lockdroid.E ، یک باج افزار اندرویدی با استفاده از کلیک کردن ، کنترل دستگاه مورد نظر را به دست می آورد.

نحوه جلوگیری از Clickjacking

اگر مدیر وب سایت هستید ، می توانید از کلیک مجدد جلوگیری کنید. اما اگر اینگونه نباشد ، بسیاری از روش های کارآمد و مفید برای جلوگیری از کلیک کردن وجود ندارد.

با این حال ، یکی از راههای پیشنهادی برای جلوگیری از کلیک مجدد ، استفاده از پسوند فایرفاکس بدون اسکریپت در حین مرور است. همانند جلوگیری از تبلیغات ، بدون اسکریپت مانع از بارگیری هر اسکریپت تا تأیید اعتبار مشخص از طرف شما نخواهد شد.

هیچ اسکریپتی با ویژگی های ضد کلیک ، اسکریپتی را ایجاد می کند که باعث ایجاد لایه شفاف در وب سایت ها می شود. برنامه های افزودنی خاص با جلوگیری از ویژگی های اسکریپت و بارگیری برنامه ها می تواند شما را از کلیک کردن نیز نجات دهد.

Clickjacking چیست و چگونه می توانید خود را از آن محافظت کنید

با این حال ، سرپرست سایت راهی است که از طریق آن می توانید بهترین دفاع دفاعی کلیک کنید. با این حال ، بسیاری از آنها انتزاع و فنی هستند. اما اگر می خواهید راهی برای اجرای آنها استفاده کنید ، می توانید آن را در Clickjacking Defense Cheat Sheet از OWASP بررسی کنید..

برای متوقف کردن کلیک ، می توانید یک هدر HTTP با گزینه x-frame را نیز در اختیار داشته باشید که یکی از کارآمدترین راه ها برای محافظت از سایت شما است. مانع بارگذاری محتوای وب سایت شما در یک قاب (برچسب) یا iframe (برچسب) می شود.

با کاهش تهدید ، روشی مؤثر برای جلوگیری از کلیک مجدد است ، زیرا این تاکتیک به عنوان تسهیل کننده حمله برای کلیک کردن و همچنین سایر حملات مخرب استفاده می شود..

از گزینه های X-Frame می توانید استفاده کنید

برای هدر گزینه های X-frame ، سه مقدار ممکن وجود دارد.

انکار:  حتی اگر سایت سعی در انجام این کار داشته باشد ، صفحه نمی تواند روی یک قاب نمایش داده شود

SAMEORIGIN: که فقط به سایت فعلی امکان می دهد محتوای را قاب کند.

اجازه از uri:  این صفحه فقط می تواند در یک قاب با منبع مشخص شده نمایش داده شود.

نگرانی واقعی برای همه امروزه هرگونه آسیب پذیری در دستگاه های اندرویدی آنها است. برای کاهش احتمال کلیک در گوشی خود ، باید برای برنامه بارگیری از برنامه های معتبر و قابل اعتماد استفاده کنید. بارگیری برنامه هایی مانند فروشگاه اپل اپل یا فروشگاه Google Play احتمالاً چیزهای مخربی را در مقایسه با هر منبع شخص ثالث شامل نمی کند ، اما هنوز هم کاملاً از چنین آسیب پذیری ها خلاص نیستند.

مرورگرهای درون برنامه احتمالاً مکانی هستند که می توانید با حمله با کلیک کلیک کنید. بنابراین ، به جای استفاده از مرورگر درون برنامه ، می توانید رفتار پیش فرض ایجاد لینک را در برنامه های خود تنظیم کنید تا در مرورگر سیستم باز شود. این یک فرصت دیگر را برای شما به دام می اندازد.

نتیجه

به نظر می رسد Clickjacking مزاحم تر از واقع است. با این حال ، اگر از یک مهاجمان به طور کارآمد و هوشمندانه استفاده شود ، از دسترسی آن به اطلاعات حساس و حسابهای شخصی شما برخوردار می شود.

Clickjacking می تواند صدمات جدی به شما وارد کند زیرا معمولاً از یک منبع غیر قابل تفکیک ناشی می شود. برای جلوگیری از Clickjacking می توانید از الحاقات انسداد اسکریپت استفاده کنید اما این نکته را در نظر داشته باشید که این نوع افزودنیها نیز کمی بحث برانگیز هستند.

David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me