Clickjack Attack

Видео: What Is Click-Jacking? | UI Redress Atack? | Working and Causes Explained

Содержание

Определение - Что означает атака Clickjack?
Введение в Microsoft Azure и Microsoft Cloud | Из этого руководства вы узнаете, что такое облачные вычисления и как Microsoft Azure может помочь вам перенести и запустить свой бизнес из облака.
Техопедия объясняет атаку Clickjack

Определение - Что означает атака Clickjack?

Атака с помощью clickjack - это вредоносная техника, используемая злоумышленником для записи кликов зараженного пользователя в Интернете. Это может быть использовано для направления трафика на конкретный сайт или для того, чтобы пользователь понравился или принял приложение. Более гнусными целями может быть сбор конфиденциальной информации, хранящейся в браузере, такой как пароли, или установка вредоносного контента.

Этот тип атаки также известен как перехватывание кликов или переадресация пользовательского интерфейса.

Введение в Microsoft Azure и Microsoft Cloud | Из этого руководства вы узнаете, что такое облачные вычисления и как Microsoft Azure может помочь вам перенести и запустить свой бизнес из облака.

Техопедия объясняет атаку Clickjack

Как правило, использование clickjack осуществляется путем размещения скрытой ссылки над действующей кнопкой. Тем не менее, эксплуатация может также включать в себя следующее:

Обмануть пользователей включением их микрофонов и веб-камер через Flash
Обманывают пользователей в обнародовании их профиля в социальных сетях
Заставить зараженных пользователей неосознанно следовать за кем-то на

Атака clickjack может быть реализована с помощью IFRAME, которые являются HTML-элементами, которые извлекают контент из других мест, таких как другие веб-сайты. Злоумышленники Clickjack могут встроить IFRAME на любой веб-сайт и наложить невидимый IFRAME поверх легитимной кнопки. Когда пользователь нажимает законную кнопку, кнопка или ссылка злоумышленника фактически нажимаются.

Что делает этот способ атаки очень мощным, так это то, что он фактически выполняется в рамках спецификации HTML, что означает, что веб-сайт работает так, как ожидалось. Злоумышленники просто используют эту функцию для злонамеренных атак. Консорциум World Wide Web (W3C) пытается определить новый стандарт, который позволит веб-сайтам запретить вмешательство извне.

Администраторы сайта могут не знать, что что-то не так, пока от пользователей не поступят жалобы. Трудно определить, что атака произошла, потому что все на сайте выглядит одинаково, а элемент clickjack был полностью замаскирован под безвредность.

Надстройка NoScript для Mozilla, веб-браузер Gazelle и фрагмент JavaScript-кода Framekiller - это некоторые меры, которые можно использовать для защиты от атаки clickjack.