Clickjack Attack

Video: What Is Click-Jacking? | UI Redress Atack? | Working and Causes Explained

Contenuto

Definizione - Cosa significa Attacco Clickjack?
Un'introduzione a Microsoft Azure e Microsoft Cloud | In questa guida imparerai cos'è il cloud computing e in che modo Microsoft Azure può aiutarti a migrare e gestire la tua azienda dal cloud.
Techopedia spiega Clickjack Attack

Definizione - Cosa significa Attacco Clickjack?

Un attacco clickjack è una tecnica dannosa utilizzata da un utente malintenzionato per registrare i clic dell'utente infetto su Internet. Questo può essere utilizzato per indirizzare il traffico verso un sito specifico o per rendere un utente simile o accettare un'applicazione. Scopi più nefasti potrebbero essere la raccolta di informazioni riservate salvate su un browser, come le password, o l'installazione di contenuti dannosi.

Questo tipo di attacco è anche noto come clickjacking o UI readdressing.

Un'introduzione a Microsoft Azure e Microsoft Cloud | In questa guida imparerai cos'è il cloud computing e in che modo Microsoft Azure può aiutarti a migrare e gestire la tua azienda dal cloud.

Techopedia spiega Clickjack Attack

Normalmente, uno sfruttamento di clickjack viene effettuato posizionando un collegamento nascosto su un pulsante valido. Tuttavia, lo sfruttamento può includere anche quanto segue:

Ingannare gli utenti nell'abilitare i loro microfoni e webcam tramite Flash
Ingannare gli utenti nel rendere pubblici i dettagli del proprio profilo sui social media
Far sì che gli utenti infetti seguano inconsapevolmente qualcuno

Un attacco clickjack può essere implementato usando gli IFRAME, che sono elementi HTML che disegnano contenuti da altre posizioni come altri siti web. Gli aggressori di Clickjack possono incorporare un IFRAME su qualsiasi sito Web e sovrapporre l'IFRAME invisibile sopra un pulsante legittimo. Quando l'utente fa clic sul pulsante legittimo, viene effettivamente fatto clic sul pulsante o sul link dell'attaccante.

Ciò che rende questo un modo molto potente di attaccare è che viene effettivamente eseguito entro i limiti della specifica HTML, il che significa che il sito Web funziona come previsto. Gli aggressori stanno semplicemente sfruttando questa funzione per attacchi dannosi. Il World Wide Web Consortium (W3C) sta cercando di definire un nuovo standard che consentirà ai siti Web di vietare interferenze esterne.

Gli amministratori del sito Web potrebbero non sapere che qualcosa non va fino a quando non arrivano reclami da parte degli utenti. È difficile individuare un attacco perché tutto sul sito ha lo stesso aspetto e l'elemento clickjack è stato completamente camuffato da innocuo.

Il componente aggiuntivo NoScript per Mozilla, il browser Web Gazelle e lo snippet JavaScript di Framekiller sono alcune misure che possono essere utilizzate per proteggere da un attacco clickjack.