Clickjacking là một loại hình tấn công liên quan trực tiếp với người dùng và không thể diễn ra nếu không có sự tham gia của người dùng.

Theo nghĩa nào đó, Clickjacking một kỹ thuật nhằm đánh cắp các “cú click” của người dùng. Kẻ tấn công có thể sử dụng kỹ thuật tấn công này cho nhiều mục đích. Đánh cắp tài khoản người dùng, lừa click vào quảng cáo để kiếm tiền, lừa like page hoặc nguy hiểm hơn là cài một webshell lên máy chủ web.

Bạn đang xem: Clickjacking là gì

Vài nét về sự phát triển của Clickjacking

Clickjacking được Robert Hansen(nhà sáng lập và điều hành hãng SecTheory) và Jeremiah Grossman (Whitehat Security) phát hiện vào năm 2008. Đặc biệt là công bố về khả năng bị clickjacking của Adobe Flash từ version 9 trở về trước.Năm 2010 tại hội thảo BlackHat (Barcelona), Paul Stone – chuyên gia bảo mật người Anh đã có những khám phá mới hơn về Clickjacking.Facebook cũng từng là nạn nhân của Clickjacking worm (Được Sophos đặt tên là Troj/Iframe -ET) khi người sử dụng nhìn thấy một liên kết có dạng

Một số kỹ thuật tấn công Clickjacking

Chen dấu đối tượng:

Sử dụng thuộc tính CSS opacity (làm cho các iframe trong suốt) để che giấu đối tượng web cần click vào và z-index để hiển thị đối tượng.

Xem thêm: Sửa Lỗi Error Loading Media

*
*
*
*
*
*

Phòng chống clickjacking

Mức độ nghiêm trọng gây ra bởi các kiểu tấn công Clickjacking là rất cao, nhưng để ngăn chặn tấn công là khá dễ dàng.

Xem thêm: Nguồn Gốc, ý Nghĩa Những Việc Nên Làm Vào Ngày Rằm Tháng 7 Là Ngày Gì

Yêu cầu người dùng xác nhận lại bằng cách hiển thị hộp thoại thông báo thao tác người dùng đã thực hiện yêu cầu và xác nhận.Đặt các đối tượng web vào các vị trí ngẫu nhiên gây khó khăn cho kẻ tấn công vì giao diện không ổn định.Thiết lập các chính sách trên trình duyệt yêu cầu các frame hiển thị với opacity > 0Sử dụng Javascript ngăn cản một trang web khác nhúng nội dung của trang đó vào iframe ( Frame Bursting ):Sử dụng câu lệnh điều kiện kiểm tra trang web có nằm trong iframe hay khôngChuyển hướng cửa sổ trình duyệt về trang web bị nhúng và iframe.

Thuê dịch vụ bên thứ :

Chuyên mục: Hỏi Đáp