Click Jacking یا کلیک دزدی چیست و راه‌‌های محافظت از آن کدامند؟

0
1218
Click Jacking یا کلیک دزدی چیست؟

کلیک جکینگ یا کلیک دزدی چیست:

Click Jacking یا کلیک دزدی یک روش جهت فریب دادن کاربران وب‌سایت برای کلیک کردن روی لینک مخرب است.  – به صورتی که لینک موجه جلوه می‌کند –

فرض کنید شما صاحب وب‌سایتی هستید که ویدئو‌های مربوط به موضوع مشخصی را یکجا جمع و به نمایش می‌گذارید. در نتیجه وب‌سایت شما هدف خوبی برای خرابکارها جهت کلیک دزدی است. 

خرابکارها یک آدرس شبیه آدرس وب‌سایت (URL) شما ثبت می‌کنند و وب‌سایت شما را در قالب یک iframe در صفحه وب خود می‌آورند.

<html>
  <head>
    <style>
      body {
        position: relative;
        margin: 0;
      }
 
      iframe {
        border: none;
        position: absolute;
        width: 100%;
        height: 100%;
      }
    </style>
  </head>
  <body>
    <iframe src="YOUR URL">
    </iframe>
  </body>
</html>

سپس یک div با قابلیت شفاف روی این iframe -به وسیله z-index- قرار می‌دهند:

<html>
  <head>
    <style>
      body {
        position: relative;
        margin: 0;
      }
 
      iframe, div {
        border: none;
        position: absolute;
        width: 100%;
        height: 100%;
      }
 
      div {
        z-index: 100;
      }
    </style>
  </head>
  <body>
    <iframe src="YOUR URL">
    </iframe>
    <div></div>
  </body>
</html>

در مرحله بعد این div شفاف را به آدرس مشخصی لینک می‌دهند : 

<div>
      <a href="specific url"></a>
</div>

 

در نتیجه کاربری که به قصد تماشای ویدئو که گمان می‌برد در وب‌سایت شما است، روی ویدئو کلیک می‌کند و بر حسب لینکی که خرابکار روی div قرار داده ممکن است وارد یک سایت مخرب شود، یک فایل آلوده به ویروس یا بدافزار را دانلود کند و غیره. 

همانطور که خواندیم، کلیک جکینگ یا کلیک دزدی به صورت مستتقیم وب‌سایت شما را آلوده نمی‌کند، اما کاربران شما را به خطر می‌اندازد.

راه‌های محافظت از کلیک دزدی :

۱- از طریق گزینه X-Frame-Options  : 

همانطور در کدهای بالا دیدیم، خرابکاران از طریق iframe وب‌سایت هدف را در وب‌سایت خود وارد می‌کنند. بنابراین برای محافظت از کاربران وب‌سایتمان، نباید اجازه دهیم وب‌سایتمان در  iframe نمایش داده شود. برای این کار باید به مرورگر دستورالعمل لازم را از طریق HTTP headers بدهیم. 

گزینه X-Frame-Options در HTTP headers برای این مورد استفاده قرار می‌گیرد که آیا وب‌سایت شما می‌تواند در تگ frame یا iframe نمایش داده شود یا خیر. در حقیقت این گزینه برای حفاظت از کلیک دزدی طراحی شده است. برای این منظور باید فایل کانفیگ HTTP سرورتان برای مثال Apache, NGinx, IIS و غیره را ویرایش کنید. 

گزینه X-Frame-Options شامل سه value است :

  • DENY  : صفحه نمی‌تواند در iframe نمایش داده شود.
  • SAMEORIGIN : صفحه می‌تواند در iframe  فقط در وب‌سایت اصلی نمایش داده شود.
  • ALLOW-FROM *uri*  : صفحه می‌تواند در iframe فقط در وب‌سایت‌های مشخص شده نمایش داده شود.

۲-  از طریق Content-Security-Policy : 

گزینه Content-Security-Policy در HTTP Header از استانداردهای HTML5 است. یکی از کارایی‌های این گزینه برای مشخص کردن وب‌سایت‌هایی هستند که اجازه دارند وب‌سایت اصلی را Embed کنند. 

برای کنترل اینکه وب‌سایت شما قابل Embed کردن است یا خیر، باید از frame-ancestors استفاده کنید : 

  • Content-Security-Policy: frame-ancestors ‘none ‘ :  صفحه نمی‌تواند در iframe نمایش داده شود.
  • Content-Security-Policy: frame-ancestors ‘self’ :  صفحه می‌تواند در iframe فقط در وب‌سایت اصلی نمایش داده شود.
  • Content-Security-Policy: frame-ancestors *uri* :  صفحه می‌تواند رد iframe فقط در وب‌سایت‌های مشخص شده نمایش داده شود.

۳- از طریق Frame-Killing: 

در مرورگرهای قدیمی یکی از راه‌های جلوگیری از کلیک دزدی استفاده از جاوا اسکریپت Frame-Killing بود تا اجازه ندهد وب‌سایت در iframe ها نمایش داده شود. 

<style>
  /* Hide page by default */
  html { display : none; }
</style>
 
<script>
  if (self == top) {
    // Everything checks out, show the page.
    document.documentElement.style.display = 'block';
  } else {
    // Break out of the frame.
    top.location = self.location;
  }
</script>

این اسکریپت هنگام بارگذاری صفحه، چک می‌کند که آیا دامنه صفحه با دامنه پنجره مرورگر یکسان است یا خیر. اگر صفحه داخل یک iframe باشد یعنی دامنه صفحه با دامنه پنجره مرورگر یکی نیست و صفحه نمایش داده نمی‌شود.

 

با آگاهی از راه و روش‌های خرابکارن برای فریب دادن کاربران است که می‌توانیم جلوی آنها را بگیریم. 

مقاله قبلیماموریت ممکن : تلفن‌های خود نابودگر از راه می‌رسند
مقاله بعدیآسیب پذیری XSS چیست و راه‌های محافظت در برابر آن کدامند؟

نظر بدهید

لطفا نظر خود را بنویسید
لطفا نام خود را اینجا وارد کنید

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.