Clickjack-Angriff

Video: Bug Bounty Clickjacking vulnarablity

Inhalt

Definition - Was bedeutet Clickjack Attack?
Eine Einführung in Microsoft Azure und die Microsoft Cloud | In diesem Handbuch erfahren Sie, worum es beim Cloud-Computing geht und wie Microsoft Azure Sie bei der Migration und Ausführung Ihres Unternehmens aus der Cloud unterstützen kann.
Techopedia erklärt Clickjack Attack

Definition - Was bedeutet Clickjack Attack?

Ein Clickjack-Angriff ist eine böswillige Technik, mit der ein Angreifer die Klicks des infizierten Benutzers im Internet aufzeichnet. Dies kann verwendet werden, um den Datenverkehr auf eine bestimmte Site zu leiten oder einen Benutzer dazu zu bringen, eine Anwendung zu mögen oder anzunehmen. Schädlichere Zwecke könnten darin bestehen, in einem Browser gespeicherte vertrauliche Informationen wie Kennwörter zu sammeln oder schädliche Inhalte zu installieren.

Diese Art von Angriff wird auch als Clickjacking oder UI-Readdressing bezeichnet.

Eine Einführung in Microsoft Azure und die Microsoft Cloud | In diesem Handbuch erfahren Sie, worum es beim Cloud-Computing geht und wie Microsoft Azure Sie bei der Migration und Ausführung Ihres Unternehmens aus der Cloud unterstützen kann.

Techopedia erklärt Clickjack Attack

Normalerweise wird eine Clickjack-Ausnutzung ausgeführt, indem ein verdeckter Link über einen gültigen Button gelegt wird. Die Nutzung kann jedoch auch Folgendes umfassen:

Täuschung der Benutzer bei der Aktivierung ihrer Mikrofone und Webcams über Flash
Täuschen Sie Benutzer, damit sie ihre Social-Media-Profildetails veröffentlichen
Infizierte Benutzer dazu bringen, jemandem unwissentlich zu folgen

Ein Clickjack-Angriff kann mithilfe von IFRAMEs implementiert werden, bei denen es sich um HTML-Elemente handelt, die Inhalte von anderen Standorten beziehen, z. B. von anderen Websites. Clickjack-Angreifer können einen IFRAME in jede Website einbetten und den unsichtbaren IFRAME auf eine legitime Schaltfläche legen. Wenn der Benutzer auf die legitime Schaltfläche klickt, wird tatsächlich auf die Schaltfläche oder den Link des Angreifers geklickt.

Was dies zu einer sehr mächtigen Angriffsmethode macht, ist, dass es tatsächlich im Rahmen der HTML-Spezifikation erfolgt, was bedeutet, dass die Website wie erwartet funktioniert. Die Angreifer nutzen diese Funktion nur für böswillige Angriffe. Das World Wide Web Consortium (W3C) versucht, einen neuen Standard zu definieren, der es Websites ermöglicht, Störungen von außen zu verbieten.

Website-Administratoren wissen möglicherweise nicht, dass etwas nicht in Ordnung ist, bis Beschwerden von Benutzern eingehen. Es ist schwer zu sagen, dass ein Angriff stattgefunden hat, da auf der Website alles gleich aussieht und das Clickjack-Element vollständig als harmlos getarnt wurde.

Das NoScript-Add-on für Mozilla, der Gazelle-Webbrowser und das Framekiller-JavaScript-Snippet sind einige Maßnahmen, die zum Schutz vor Clickjack-Angriffen verwendet werden können.