什么是点击劫持以及如何保护自己免受点击劫持

[ware_item id=33][/ware_item]

黑客攻击和数据攻击通过多种方法来完成,这些方法可以帮助攻击者访问您的信息。但是您可能没有意识到黑客使用的技术Clickjacking。与社会工程,SQL注入,DDoS攻击等不同,Clickjacking是讨论不多的一种。但是,它与其他人一样有害且脆弱.


什么是点击劫持,如何防止它以及在哪里发现?对于所有这些问题,本文将有助于回答。但是,很难确定这种黑客方法.

什么是点击劫持?

从名称上看,点击劫持是一种通过单击任何内容来诱骗用户的技术。可以通过多种方式欺骗用户,因为用户单击的对象与他们看上去的对象不同.

UI寻址是用​​于点击劫持的另一个术语。这是因为该过程包括一种技术,通过该技术可以将用户期望的界面放置在另一个透明用户界面下。这就是为什么用户点击一些有趣的东西会对其设备和数据进行恶意攻击的原因.

此方法中使用的另一种策略是通过更改光标位置来分散用户的注意力。显示在一个位置上的光标实际上在另一位置。通过此攻击者,人们可以单击可能提供其个人信息的内容.

点击劫持包括一系列此类异常和巧妙的攻击。与最近报道的情况类似,当收信人点击图片后,WhatsApp上看起来清晰的图片可以将您的帐户控制权转移给图片发件人.

什么是点击劫持以及如何保护自己免受点击劫持

某些人将社会工程攻击也包含在点击劫持类别中。例如,在Twitter上,2009年发布了一条包含链接和短语“请勿点击”的推文。当任何人单击同一事物时,该推文也会从其帐户中发布。这种方法也用于通过Facebook上的链接赚钱.

如果您认为点击劫持只是通过点击完成的,那您就错了。在Android设备上也有报道。 Android.Lockdroid.E,一个Android勒索软件通过点击劫持来控制目标设备.

如何防止点击劫持

如果您是网站管理员,则可以防止点击劫持。但是,如果没有,那么没有很多有效和有用的方法来避免点击劫持.

但是,建议的一种防止点击劫持的方法之一是在浏览时使用No-script firefox扩展名。与避免扩展的广告一样,无脚本将阻止任何脚本的加载,直到您进行某些身份验证为止.

具有防点击劫持功能的无脚本将识别可在网站上生成透明覆盖图的脚本。某些阻止脚本功能和下载应用程序的扩展程序也可能使您免于点击劫持.

什么是点击劫持以及如何保护自己免受点击劫持

但是,网站管理员是获得最佳点击劫持防御的方式。但是,其中大多数都是深奥的和技术性的。但是,如果您想要实现它们的方法,则可以在OWASP的Clickjacking防御备忘单中进行查看.

要停止点击劫持,您还可以添加x-frame-options HTTP标头,这是保护您的网站的最有效方法之一。它禁止将您网站的内容加载到框架(标签)或iframe(标签)中.

缓解威胁,这是避免点击劫持的有效方法,因为此策略用作点击劫持以及其他恶意攻击的攻击促进剂.

X-Frame选项,您可以使用

X-frame-options标头有三个可能的值;

拒绝:  即使网站尝试将页面显示在框架上

SAMEORIGIN: 仅允许当前站点对内容进行框架.

允许的uri:  该页面只能显示在指定原点的框架中.

如今,每个人真正关心的是其Android设备中的任何漏洞。为了减少手机上点击劫持的机会,您应该使用真实可信的应用程序进行下载。与任何第三方来源相比,下载诸如Apple App Store或Google Play Store之类的应用程序不太可能包含任何恶意内容,但它们也不能完全摆脱此类漏洞.

应用内浏览器很可能会面临点击劫持攻击。因此,您可以将应用程序中的链接打开设置为在系统浏览器中打开,而不是使用应用程序内浏览器。这将使您再有机会被困.

结论

点击劫持似乎比实际更令人讨厌。但是,如果攻击者有效,巧妙地使用它,则可能会让攻击者访问您的敏感信息和个人帐户.

点击劫持可能会给您带来严重危害,因为它通常来自不加选择的来源。为了避免Clickjacking,您可以使用脚本阻止扩展,但请记住,此类加载项也有争议.