Apakah pemblokir iklan membantu melawan clickjacking?

Sebagian — beberapa pemblokir iklan menghapus iframe dari sumber yang mencurigakan. Clickjacking pada situs sah yang disusupi tidak akan diblokir. Pertahanan yang andal adalah sisi server (frame-ancestor), bukan pemfilteran sisi klien.

Apakah aplikasi seluler rentan terhadap clickjacking?

Kurang dari web karena UI seluler tidak memiliki mekanisme overlay yang sama. Persamaan seluler ("tapjacking" di Android melalui izin overlay) ada tetapi secara bertahap dikunci oleh OS. Android modern memerlukan izin pengguna eksplisit untuk izin overlay SYSTEM_ALERT_WINDOW.

Mengapa serangan itu disebut “jacking”?

Istilah portmanteau "click-jacking" diciptakan oleh Jeremiah Grossman dan Robert Hansen pada tahun 2008. Istilah ini menangkap pembajakan klik yang sah oleh penyerang.

Bagaimana cara memeriksa apakah suatu situs mengizinkan dirinya untuk dibingkai?

Coba muat di iframe melalui alat pengembang atau halaman HTML sederhana. Jika halaman dimuat di dalam iframe, header perlindungan frame tidak ada di dalamnya dan mungkin rentan terhadap pembajakan klik. Banyak pemindai keamanan memeriksa ini secara otomatis.

Apakah clickjacking menyebabkan insiden besar akhir-akhir ini?

Kurang dari puncaknya pada tahun 2008-2015, namun platform bug bounty masih melihat laporan clickjacking di situs yang lebih kecil. Situs-situs besar umumnya memiliki header yang tepat. Antarmuka admin yang kurang terpelihara, alat internal, dan SaaS lama adalah tempat munculnya permukaan clickjacking.

Clickjacking adalah serangan di mana halaman berbahaya melapisi iframe yang tidak terlihat di atas konten umpan. Pengguna mengira mereka mengklik tombol yang menggoda; mereka sebenarnya mengklik di dalam bingkai tersembunyi yang berisi situs berbeda. Kasus klasik membuat pengguna “menyukai” halaman Facebook yang tidak pernah mereka lihat. Varian modern mencuri pembayaran dan perubahan akun.

Badan artikel selengkapnya disediakan dalam bahasa Inggris di bawah ini.

Clickjacking (juga disebut perbaikan UI atau serangan pembingkaian) menipu pengguna agar mengeklik sesuatu yang berbeda dari apa yang mereka lihat. Penyerang memuat situs target dalam iframe yang tidak terlihat, memposisikannya di antarmuka umpan, dan menunggu. Pengguna mengklik umpan yang terlihat; klik mendarat di iframe yang tersembunyi; situs target melihat interaksi normal dari pengguna.

Contoh klasik

2008: Peneliti mendemonstrasikan overlay tombol "Suka" Facebook yang tidak terlihat pada konten umpan yang menarik ("Klik di sini untuk memenangkan iPad!"). Pengguna mengklik umpan; browser mereka diam-diam menyukai halaman Facebook penyerang. Suka adalah asli — pengguna masuk ke Facebook, browser mengirim cookie normal, Facebook melihat klik nyata yang diautentikasi.

Pola yang sama berfungsi untuk tindakan UI apa pun: mengubah pengaturan, memberikan izin OAuth, mentransfer dana, mengonfirmasi pembelian. Di mana pun pengguna yang masuk dapat melakukan sesuatu dengan satu klik, clickjacking berpotensi membuat mereka melakukannya tanpa menyadarinya.

Mekaniknya

Implementasi klasik: