Користувач:Dxin301/Clickjacking

Під час атаки клікджекінга користувачеві надається фальшивий інтерфейс, де його дії застосовуються до прихованого стороннього сайту

Clickjacking (класифікується як атака UI redressing) — це зловмисна техніка, за допомогою якої хакер обманним шляхом змушує користувача натиснути щось, що фактично відрізняється від того, що бачить користувач на екрані, що може призводити до потенційного розкриття конфіденційної інформації або здіснення дій від імені жертви . ^{[1] [2] [3] [4] [5]}

Клікджекінг — це випадок проблеми прихованого відображення легітимного сайту або программи так що користувач впевнений що взаємодіє з іншим сайтом або програмою, що є проблемою зловживання зловмисником можливостями оформлення дизайну. ^[6]

Історія

У 2002 році було помічено, що можна завантажити одну програму над іншою програмою та зробити першу абсолютно прозорою так, щоб дії користувача в другій програмі впливали безпосередньо на першу, при цьому користувач цього абсолютно не помітить. Однак до 2008 року це ігнорувалося як головна проблема ^[7] .

У 2008 році Джеремія Гроссман і Роберт Хансен виявили, що Adobe Flash Player вразливий до атаки clickjacking, що дозволяє зловмиснику отримувати доступ до комп’ютера без відома користувача. ^[7]

Термін «clickjacking» був введений Джеремією Гроссманом і Робертом Хансеном ^{[8] [9]}, утворюючи слів «click» і «jacking»(з англ. викрадення). ^[7]

Оскільки було виявлено більше атак подібного характеру, акцент у терміні «UI redressing» було змінено, щоб докладно описати категорію цих атак, а не просто як clickjacking. ^[7]

Опис

Одна з форм клікджекінгу використовує вразливі місця в програмах або веб-сторінках, щоб дозволити зловмиснику маніпулювати комп’ютером користувача, його данними або діями від імені користувача для власної вигоди.

Наприклад, сайт зловмисника який атакує жертву, використовуючи данну атаку, обманом змушує її виконувати небажані дії, натискаючи приховані посилання. На такому сайті зловмисники завантажують іншу сторінку поверх оригінальної сторінки абсолютно прозоро, щоб обманом змусити користувача виконати дії, результати яких не будуть такими, як очікує користувач. Нічого не підозрюючи користувачі думають, що вони натискають видимі кнопки, тоді як вони насправді виконують дії на прихованій сторінці. Користувач може бути авторизований на такій сторінці, отже, зловмисники можуть обманом змусити користувача виконати дії від свого імені, які користувач ніколи не збирався робити. Пізніше неможливо відстежити такі дії зловмисників, оскільки користувачі фактично самостійно виконували дії на сайті.

Категорії клікджекінгу

• Класичний: працює переважно через веб-браузер ^[7]
• Likejacking: використовує можливості соціальних мереж Facebook ^{[10] [11]}
• Вкладений: клікджекінг, створений для впливу на Google+ ^[12]
• Cursorjacking: маніпулює виглядом і розташуванням курсору ^[7]
• MouseJacking : використання вводу з клавіатури або миші через RF посилання ^[13]
• Безбраузерний: не використовує браузер ^[7]
• Cookiejacking : викрадає файли cookie з браузерів ^{[7] [14]}
• Filejacking: здатність налаштувати уражений пристрій як файловий сервер ^{[7] [15] [16]}
• Атака на менеджер паролів: клікджекінг, який використовує вразливість у функції автозаповнення браузерів ^[7]

Класичний

Класичний клікджекінг — це ситуація, коли зловмисник на власних веб-сторінках вбудовує абсолютно прозоро легітимний сайт через iframe, щоб маніпулювати діями, які виконує курсор користувача, що призводить до введення користувача в оману щодо того, що саме було натиснуто. ^[17]

Користувач може отримати електронний лист із посиланням на відео з новиною, але інша веб-сторінка, скажімо, сторінка продукту на Amazon, може бути «прихована» вгорі під кнопкою «PLAY». Користувач намагається запустити відео, але насправді «купує» продукт на Amazon. Хакер може використати лише один клік, тому він сподівається на те, що відвідувач увійшов на Amazon.com і ввімкнув замовлення в 1 клік.

Хоча технічна реалізація цих атак може бути складною через кросбраузерну несумісність, ряд інструментів, таких як BeEF або Metasploit Project, пропонують майже повністю автоматизовану експлуатацію клієнтів на вразливих веб-сайтах. Clickjacking може бути використанний з іншими веб-атаками, такі як XSS . ^{[18] [19]}

Likejacking

Лайкджекінг — це зловмисна техніка, за допомогою якої користувачі, які переглядають веб-сайт, змушують лайкнути сторінку Facebook або інші публікації або аккаунти в соціальних мережах, які вони навіть і не думали лайкати. ^[20] Термін «likejacking» походить із коментаря, який опублікувала Корі Баллоу в своїй статті How to "Like" Anything on the Web (Safely) ^[21], яка є однією з перших задокументованих публікацій, що пояснюють можливість зловмисної діяльності щодо лайків Facebook. ^[22]

Згідно зі статтею в IEEE Spectrum, рішення для likejacking було розроблено на одному з хакатонів Facebook. ^[23] Доступний букмарклет «Подобається», який уникає можливості використання цієї атаки з кнопкою «Подобається» у Facebook . ^[24]

Вкладений clickjacking

Вкладений клікджекінг, порівняно з класичним клікджекінгом, працює шляхом вбудовування зловмисного веб-фрейму між двома фреймами оригінальної нешкідливої веб-сторінки : кадром сторінки з фреймом і тим, що відображається у верхньому вікні. Це працює через уразливість у HTTP-заголовку X-Frame-Options, у якому, коли цей елемент має значення SAMEORIGIN, веб-браузер перевіряє лише два вищезгадані рівні. Той факт, що додаткові кадри можуть бути додані між цими двома, залишаючись непоміченими, означає, що зловмисники можуть використовувати це для своєї вигоди.

Cursorjacking

MouseJack

Browserless

CookieJacking

FileJacking

Атака менеджера паролів

На стороні клієнта

Дивіться також

 

1. Robert McMillan (17 September 2008). At Adobe's request, hackers nix 'clickjacking' talk. PC World. Архів оригіналу за 17 липня 2015. Процитовано 8 жовтня 2008.
2. Megha Dhawan (29 September 2008). Beware, clickjackers on the prowl. India Times. Архів оригіналу за 24 July 2009. Процитовано 8 жовтня 2008.
3. Dan Goodin (7 October 2008). Net game turns PC into undercover surveillance zombie. The Register. Процитовано 8 жовтня 2008.
4. Fredrick Lane (8 October 2008). Web Surfers Face Dangerous New Threat: 'Clickjacking'. newsfactor.com. Архів оригіналу за 13 October 2008. Процитовано 8 жовтня 2008.
5. Shahriar, Hossain; Devendran, Vamshee Krishna (4 липня 2014). Classification of Clickjacking Attacks and Detection Techniques. Information Security Journal: A Global Perspective (англ.). 23 (4–6): 137—147. doi:10.1080/19393555.2014.931489. ISSN 1939-3555.
6. The Confused Deputy rides again!, Tyler Close, October 2008
7. Niemietz, Marcus (2012). UI Redressing Attacks on Android Devices (PDF). Black Hat. Помилка цитування: Некоректний тег <ref>; назва «OurEtg» визначена кілька разів з різним вмістом
8. You don't know (click)jack Robert Lemos, October 2008
9. JAstine, Berry. Facebook Help Number 1-888-996-3777. Процитовано 7 June 2016.
10. Viral clickjacking 'Like' worm hits Facebook users. Naked Security (амер.). 31 травня 2010. Процитовано 23 жовтня 2018.
11. Facebook Worm – "Likejacking". Naked Security (амер.). 31 травня 2010. Процитовано 23 жовтня 2018.
12. Lekies, Sebastian (2012). On the fragility and limitations of current Browser-provided Clickjacking protection schemes (PDF). USENIX.
13. Wireless Mouse Hacks & Network Security Protection. MOUSEJACK (англ.). Процитовано 3 січня 2020.
14. Valotta, Rosario (2011). Cookiejacking. tentacoloViola - sites.google.com. Процитовано 23 жовтня 2018.
15. Filejacking: How to make a file server from your browser (with HTML5 of course). blog.kotowicz.net. Процитовано 23 жовтня 2018.
16. Password Managers: Attacks and Defenses (PDF). Процитовано 26 July 2015.
17. Sahani, Rishabh; Randhawa, Sukhchandan (1 грудня 2021). Clickjacking: Beware of Clicking. Wireless Personal Communications (англ.). 121 (4): 2845—2855. doi:10.1007/s11277-021-08852-y. ISSN 0929-6212.
18. The Clickjacking meets XSS: a state of art. Exploit DB. 26 грудня 2008. Процитовано 31 березня 2015.
19. Krzysztof Kotowicz. Exploiting the unexploitable XSS with clickjacking. Процитовано 31 березня 2015.
20. Cohen, Richard (31 May 2010). Facebook Work - "Likejacking". Sophos. Архів оригіналу за 4 June 2010. Процитовано 5 червня 2010.
21. Ballou, Corey (2 June 2010). "Likejacking" Term Catches On. jqueryin.com. Архів оригіналу за 5 June 2010. Процитовано 8 червня 2010.
22. Perez, Sarah (2 June 2010). "Likejacking" Takes Off on Facebook. ReadWriteWeb. Архів оригіналу за 16 August 2011. Процитовано 5 червня 2010.
23. Kushner, David (June 2011). Facebook Philosophy: Move Fast and Break Things. spectrum.ieee.org. Процитовано 15 липня 2011.
24. Perez, Sarah (23 April 2010). How to "Like" Anything on the Web (Safely). ReadWriteWeb. Процитовано 24 August 2011.

[[Категорія:Комп'ютерна культура]] [[Категорія:Хакінг (комп'ютерна безпека)]]