גארבג' טיים: מביך - באמצע התקפה מסר את הכדור ל...
תוכן עניינים:
Clickjacking , הידוע גם בשמות כמו התקפת תיקון של ממשק משתמש, התקפת תיקון של ממשק משתמש תיקון ממשק משתמש, היא טכניקה זדונית נפוצה המשמשת את התוקפים ליצור שכבות מרובות מרובות כדי להערים על משתמש בלחיצה על לחצן או קישור בדף אחר כאשר הם מתכוונים ללחוץ על דף אחר. לפיכך, התוקף שולט בהצלחה על המשתמש כדי ללחוץ על קישור ממקור חיצוני, תוך "חטיפת" אותו מהעמוד המקורי. טכניקה זו יש שימושים בלתי מוגבל כשמדובר ניצול המשתמש. לדוגמה, תקיפה כזו יכולה לשכנע את הלקוחות להזין את פרטי הבנק שלהם בדף של צד שלישי המשקף את המקור.
מה זה Clickjacking
Clickjacking היא פעילות זדונית, שבה קישורים זדוניים מוסתרים מאחורי לחצנים הניתנים ללחיצה אמיתית או קישורים, מה שהופך את המשתמשים להפעיל פעולה לא נכונה עם לחץ שלהם.
דוגמה נפוצה מאוד הרסנית של טכניקה זו יכולה להיות כאשר תוקף בונה אתר שיש לו כפתור על זה אומר " לחץ כאן כדי הזן את התחרות ". עם זאת, רק ליד הכפתור, הם מכניסים מסגרת כמעט בלתי נראית שמקשרת אל ` מחק את כל אנשי הקשר` של חשבון Gmail שלך `. הקורבן מנסה ללחוץ על הכפתור אבל במקום ללחוץ על כפתור בלתי נראה. לפיכך, התוקף "חטף" את "קליק" של המשתמש, ולכן השם Clickjacking.
בזמן האחרון, Clickjacking עשה את דרכו לשירותים פופולריים, כולל Adobe Flash Player וטוויטר. חלק מהתוקפים שינו את הגדרות תוסף Adobe Flash. על ידי טעינת דף זה לתוך iframe בלתי נראה, תוקף עלול להונות משתמש לשנות את הגדרות האבטחה של Flash, מתן הרשאה עבור כל הנפשה Flash כדי לנצל את המיקרופון של המצלמה ואת המצלמה.
מדברים על טוויטר, clickjacking נכנס תולעת טוויטר. ההתקפה הזו היתה ממוקדת בחוכמה למדי למשתמשים, ואילצה אותם לחזור על מיקום ולהפיץ אותו באופן נרחב לפני שטוויטר נכנס כדי לשלוט בווירוס.
מה זה Cursorjacking
סוג אחד של Clickjacking מפעילה להסוות את סמן העכבר ולשכנע את המשתמש כדי להחליף את הקליקים שלו במיקום אחר באותו דף. אירוע פופולרי של Cursorjacking התגלה ב- Mozilla Firefox במערכות Mac OS X באמצעות Flash, HTML ו- JavaScript קוד אשר יכול גם להוביל ריגול של מצלמת אינטרנט וביצוע addon זדוני המאפשר ביצוע של תוכנות זדוניות במחשב של המשתמש שנלכד.
מה זה כמו ג `ק
מלבד Cursorjacking, יש גם דווח על מקרים של כמו ג` ינג . הפוסט הפופולרי לאחר הופעת הפייסבוק לתרבות הפופ, המונח מסביר את עצמו פירושו לחטוף את האדם לחבב דף פייסבוק שהוא לא אמור לדעת עליו במקור.
Clickjacking Protection Tips
X-Frame Options
פתרון זה של מיקרוסופט הוא אחד היעילים ביותר נגד התקפות clickjacking על המחשב שלך. ניתן לכלול כותרת HTTP מסוג X-Frame-Options בכל דפי האינטרנט שלך. פעולה זו תמנע את הצבת האתר שלך במסגרת. X-Frame נתמך על ידי הגרסאות העדכניות ביותר של רוב הדפדפנים, כולל ספארי, כרום, IE, אבל אולי יש כמה בעיות עם Firefox. החלק הגדול של השימוש ב- X-Frame הוא שזה פשוט מאוד, אבל צריך גישה לתצורת שרת אינטרנט ולשפת scripting בשרת.
הזזת אלמנטים בדפים שלך
התוקף מנסה להציב קליקים על דפי האינטרנט שלך הוא לא מודע של מיקומים הנוכחי של אלמנטים מהצד שלך. הוא יכול רק למקם את האלמנטים נגועים שלו על בסיס הגדרות ברירת המחדל. זה רעיון טוב לנסות ולהזיז אלמנטים בדף שלך; לדוגמה, ייתכן שהתוקפים מתכוונים למקד לכפתור `אהבתי` של Facebook. על ידי הזזת אלמנט זה למיקום אחר, תוכל לזהות בקלות כאשר אירוע כזה מתרחש. הבעיה היחידה עם פתרון זה היא כי קשה מאוד עבור משתמשים רגילים לבצעכתובת אתר חד פעמית
זוהי שיטה מתקדמת למדי להגנה מפני קליקים, אשר עשויים להיות מספיק ידע כדי לעלות על המסננים הבסיסיים שלך. אתה עלול להפוך את ההתקפה הרבה יותר קשה אם אתה מוסיף קוד חד פעמי בכתובות אתרים לדפים קריטיים. זה דומה nonces משמש כדי למנוע CSRF אבל באופן ייחודי באופן שבו היא כוללת nonces ב כתובות אתר דפי היעד, לא בטפסים בתוך דפים אלה.
Framebuster Javascript
דרך נוספת לברוח טפרים של התקפת clickjacking היא לבדוק את קוד Javascript כדי לזהות. תהליך זה נקרא frambusting
Clickjacking טיפים למניעת
להעריך את הגנת הדוא"ל
התקנה ובדיקת מסנן דואר זבל חזק הדוא"ל היא אחת הדרכים לאיתור יעיל של כל סוג של התקפות על החשבונות שלך. התקפות Clickjacking בדרך כלל להתחיל על ידי tricking משתמש באמצעות דוא"ל לתוך ביקור באתר זדוני. הדבר נעשה על ידי יישום דוא"ל מזויף או מיוחד שנוצר כי נראה אותנטי. חסימת הודעות דוא"ל לא חוקיות מפחית התקפה פוטנציאלית עבור clickjacking וכן שורה ארוכה של התקפות אחרות גם כן.
השתמש יישומי אינטרנט חומות אש
יישומי אינטרנט חומות אש של WEFs הם היבט חשוב של אבטחה במקרה של עסקים שיש להם את רוב הנתונים שלהם באינטרנט. חלק מהחברות הללו נוטים להתעלם מן הצורך של אחד בסופו של דבר מקבל מותקף עם התקפות clickjacking מסיביים. נתונים אחרונים הראו כי כמעט 70 אחוזים מכלל SMBs נפרצו במידה מסוימת בעשור האחרון או כך. זה יכול לקחת נטל עצום מהצלחת שלך, מקטין באופן משמעותי את הסיכונים ועלויות פחות מאשר הפסד אתה עלול להתמודד.
למרבה הצער, אין פתרון מושלם למניעת clickjacking, כמו התוקפים בסופו של דבר למצוא דרכים לעבור את רוב הטכניקות. למרות זאת, התרופות היעילות ביותר נגד התקפות כאלה יהיו X-Frame ו- FrameBuster Javascript.
עכשיו לקרוא
: מה הם הונאות לחץ ו הונאות פרסום באינטרנט?
Microsoft Files מתאים להגנה על משתמשי Visual Studio
Microsoft הגישה תביעה לפיה פטנטים בבעלות WebXchange יוכרזו כבלתי חוקיים.
האקרים של Savviest הגיעו ממזרח אירופה, אומרים החוקרים. למרות מספר גדל והולך של התקפות סייבר מוצלחות שהושקו על ידי האקרים במזרח אסיה נגד חברות ומוסדות ממשלתיים ברחבי בעולם, בשנים האחרונות, הפושעים הקיברנטיים במזרח אירופה מהווים איום מתוחכם יותר על האינטרנט הגלובלי, על אף שמספר גדל והולך של התקפות סייבר מוצלחות שהושקו על ידי האקרים במזרח אסיה נגד חברות ומוסדות ממשלתיים ברחבי העולם בשנים האחרונות, במזרח "בעוד האקרים ממזרח אסיה שולטים בכותרות הקשורות לסייבר-סיסטמס ברחבי העולם, עם חדירת פרופיל ג
מזרח אירופים הם "בעלי מלאכה" כשמדובר בפיתוח תוכנות זדוניות, טוען קלרמן. "תוכנות זדוניות במזרח אירופה כל כך מעוצבות באלגנטיות, כינו את" ביצת פברז '"של עולם התוכנה הזדונית", הוא אמר.
Windows Phone Security עצות: 7 עצות כדי לאבטח את Windows Phone
כמה עצות אבטחה אשר יסייעו לך לאבטח את Windows Phone שלך ולהישאר בטוח באינטרנט. אתה יכול גם להוריד את אבטחת מדריך Windows Phone שלך ממיקרוסופט.