حمله کلیک دزدی چیست ؟

حمله کلیک دزدی یا "Clickjacking" یک نوع حمله امنیتی در وب است که در آن مهاجم با پوشاندن صفحه ای غیر مرتبط و بی ضرر بر روی صفحه ای خطرناک، کاربر را فریب می دهد..

انتشار: , زمان مطالعه: 5 دقیقه
حمله کلیک دزدی یا Clickjacking چیست ؟
دسته بندی: امنیت سایبری تعداد بازدید: 318

حمله کلیک دزدی چیست ؟

حمله کلیک دزدی یا "Clickjacking" یک نوع حمله امنیتی در وب است که در آن مهاجم با پوشاندن صفحه ای غیر مرتبط و بی ضرر بر روی صفحه ای خطرناک، کاربر را فریب می دهد تا روی عناصر خاصی کلیک کند. در واقع این حمله یک فرم تقلب است که می تواند به کاربران کمک کند تا بدون درک آنچه در حال انجام است، عملیاتی را انجام دهند.

به عنوان مثال، ممکن است صفحه ای که به نظر می رسد یک بازی ساده است، در واقع بر روی صفحه ای دیگر قرار گرفته باشد که درخواست حذف حساب کاربری را ارائه می دهد. اگر کاربر در بازی "کلیک کنید"، عملاً حساب خود را حذف می کند بدون اینکه بداند.

برای جلوگیری از این نوع حملات، بسیاری از مرورگرهای وب امکاناتی را فراهم کرده اند که جلوی اجرای این نوع حملات را می گیرد. برخی از وب سایت ها نیز از روش هایی مانند اعمال تأیید دومرحله ای استفاده می کنند تا از حملات کلیک دزدی جلوگیری کنند.

اهداف حمله کلیک دزدی چیست ؟

حملات کلیک دزدی می‌توانند با هدف های مختلفی انجام شوند. برخی از اهداف متداول شامل:

1. برداشت غیر مجاز از اطلاعات کاربر: مهاجم می‌تواند از طریق حملات کلیک دزدی، اطلاعات حساس یا شخصی کاربر را بدست آورد. به عنوان مثال، اگر کاربر بر روی یک دکمه که در واقع بر روی صفحه ورود قرار دارد، کلیک کند، اطلاعات ورود کاربر می‌تواند ربوده شود.

2. ارسال درخواست‌های غیر مجاز به نیابت از کاربر: مهاجم می‌تواند کاربر را وادار کند تا عملیاتی را انجام دهد که در واقع نمی‌خواست انجام دهد. به عنوان مثال، اگر کاربر بر روی یک دکمه کلیک کند که در واقع بر روی دکمه "حذف حساب" قرار دارد، حساب کاربر می‌تواند حذف شود.

3. ایجاد ترافیک جعلی: مهاجم می‌تواند از حملات کلیک دزدی برای ایجاد ترافیک جعلی بر روی یک سایت استفاده کند. این ممکن است در مواردی که کلیک‌ها به عنوان معیاری برای محاسبه درآمد یا رتبه استفاده می‌شوند، مفید باشد.

4. نصب نرم افزارهای مخرب: برخی از حملات کلیک دزدی ممکن است کاربران را وادار کنند تا نرم افزارهای مخرب را نصب کنند. کاربر ممکن است فکر کند که بر روی دکمه یا لینک بی ضرری کلیک کرده است، در حالی که در واقع نرم افزار مخربی نصب می‌شود.

مثالی از حمله کلیک دزدی در جاوا اسکریپت و HTML

یکی از روش‌های متداول برای انجام یک حمله کلیک دزدی، استفاده از تکنیک‌های CSS و HTML برای پوشاندن یا اغراق آمیز کردن عناصر وب است. در زیر یک مثال ساده از چگونگی انجام این کار را می‌بینید:
<html>
  <head>
    <style>
      .wrapper {
        position: relative;
        height: 400px;
        width: 400px;
      }
      .malicious {
        position: absolute;
        top: 0;
        left: 0;
        z-index: 2;
      }
      .innocent {
        position: absolute;
        top: 0;
        left: 0;
        z-index: 1;
      }
    </style>
  </head>
  <body>
    <div class="wrapper">
      <iframe src="https://example.com/delete-account" class="malicious">
      </iframe>
      <iframe src="https://innocent-game.com" class="innocent">
      </iframe>
    </div>
  </body>
</html>
 

در این مثال، example.com/delete-account صفحه‌ای است که درخواست حذف حساب کاربری را ارائه می‌دهد و innocent-game.com یک بازی ساده و بی‌ضرر است. مهاجم سعی دارد تا بازی را بر روی درخواست حذف حساب کاربری قرار دهد. به طوری که وقتی کاربر بر روی بازی کلیک می‌کند، در واقع درخواست حذف حساب خود را ارسال می‌کند.

لطفا توجه داشته باشید که این فقط یک مثال از چگونگی اجرای یک حمله کلیک دزدی است. در عمل، مهاجمان از روش‌های پیچیده‌تر و متنوع‌تری برای انجام این نوع حملات استفاده می‌کنند. همچنین، بسیاری از مرورگرها و فریم‌ورک‌های جاوا اسکریپت، امکاناتی را فراهم کرده‌اند که به مقابله با این نوع حملات کمک می‌کنند.

 چگونه از Clickjacking جلوگیری کنیم ؟

برای جلوگیری از حملات کلیک دزدی چندین روش وجود دارد:

1. استفاده از سربرگ‌های امنیتی HTTP: سربرگ X-Frame-Options می‌تواند برای جلوگیری از حملات کلیک دزدی مفید باشد. این سربرگ می‌تواند به مرورگر بگوید که اجازه نمایش صفحه در یک iframe یا frame را ندارد، که این یکی از روش‌های متداول برای انجام حملات کلیک دزدی است.

2. استفاده از پلیسی Content Security Policy (CSP): پلیسی CSP می‌تواند تعریف کند که چه منابعی برای یک صفحه وب مجاز هستند. به عنوان مثال، می‌توانید پلیسی CSP را به گونه‌ای تنظیم کنید که فقط منابع معتبر بتوانند در صفحه شما نمایش داده شوند.

3. استفاده از تأیید اعتبار دومرحله‌ای: تأیید اعتبار دومرحله‌ای می‌تواند کمک کند تا حتی اگر کاربری در حمله کلیک دزدی فریب بخورد، مهاجم نتواند به حساب کاربر دسترسی پیدا کند. این روش با افزودن یک مرحله دوم تأیید اعتبار، مانند یک کد ارسال شده به تلفن همراه کاربر، امنیت را افزایش می‌دهد.

4. آموزش کاربران: یکی از بهترین راه‌ها برای جلوگیری از حملات امنیتی، آموزش کاربران در مورد چگونگی شناسایی و جلوگیری از این حملات است. این می‌تواند شامل ارائه اطلاعات در مورد چگونگی شناسایی لینک‌های مشکوک و فرم‌های وب غیرمعتبر باشد.

5. استفاده از تست‌های نفوذ: تست‌های نفوذ می‌توانند به شما کمک کنند تا مشکلات امنیتی موجود در سایت یا برنامه خود را شناسایی کنید و راه‌های رفع آن‌ها را بیابید.

این فقط بخشی از راه‌های ممکن برای جلوگیری از حملات کلیک دزدی است و بسته به طبیعت برنامه یا وب‌سایت شما، ممکن است سایر راه‌های جلوگیری وجود داشته باشد.


دیدگاه های مربوط به این مقاله (برای ارسال دیدگاه در سایت حتما باید عضو باشید و پروفایل کاربری شما تکمیل شده باشد)