Clickjacking 공격이란 무엇입니까? 보호 및 예방 팁

클릭 잭킹 > 사용자 인터페이스 교정 공격, UI 교정 공격, UI 교정 은 공격자가 여러 복잡한 레이어를 만들어 사용자를 속여 버튼을 클릭하도록하는 일반적인 악의적 인 기술입니다 또는 다른 페이지를 클릭 할 때 다른 페이지에 링크하십시오. 따라서 공격자는 원본 페이지에서 `하이재킹`하면서 외부 소스의 링크를 클릭하도록 사용자를 성공적으로 제어합니다. 이 기술은 사용자 착취와 관련하여 무제한 사용합니다. 예를 들어, 그러한 공격은 고객이 자신의 은행 정보를 원래의 것을 반영하는 제 3 자 페이지에 입력하도록 유도 할 수 있습니다.

클릭 재킹이란 무엇입니까?

클릭 재킹은 악의적 인 활동으로, 진짜 클릭 가능한 버튼 또는 링크를 사용하여 사용자가 클릭으로 잘못된 액션을 활성화하게 만듭니다.

이 기술의 일반적으로 파괴적인 예는 " 여기를 클릭하십시오.라는 버튼이있는 웹 사이트를 구축하는 공격자가있을 수 있습니다. 경연 대회 에 참가하십시오. " 그러나 버튼 옆에있는 Gmail 계정의 ` 모든 연락처 삭제` 링크로 연결되는 거의 보이지 않는 프레임을 넣었습니다. 희생자는 버튼을 클릭하려고하지만 보이지 않는 버튼을 실제로 클릭합니다. 따라서 공격자는 사용자의 "클릭"을 "납치"하여 클릭 재킹이라는 이름을 붙였습니다. 최근에는 Clickjacking이 Adobe Flash Player 및 Twitter를 비롯한 인기있는 서비스로 옮겨졌습니다. 일부 공격자는 Adobe Flash 플러그인 설정을 변경했습니다. 이 페이지를 보이지 않는 iframe에로드하면 침입자는 사용자가 플래시의 보안 설정을 변경하도록 유도하여 플래시 애니메이션이 컴퓨터의 마이크와 카메라를 사용하도록 허용 할 수 있습니다.

트위터에 대해 이야기하면서 트위터 웜. 이 공격은 사용자를 독창적으로 타겟팅하여 트위터가 바이러스를 제어하기 전에 위치를 재조정하고 광범위하게 확산되도록합니다.

Cursorjacking의 정의

Clickjacking의 한 종류는 마우스 커서를 위장하여 사용자를 설득하는 것입니다 클릭을 동일한 페이지의 다른 위치로 대체 할 수 있습니다. Mac OS X 시스템의 Flash, HTML 및 JavaScript 코드를 사용하는 Mozilla Firefox에서

Cursorjacking 의 인기 사례가 발견되었으므로 웹캠의 감시 및 악성 코드의 실행을 허용하는 악의적 인 애드온 실행으로 이어질 수 있습니다 Likejacking

Cursorjacking 외에도

Likejacking 사건이보고되었습니다. 페이스 북의 출현으로 대중 문화로 만들어진이 자명 한 용어는 원래 그가 알지 못했던 페이 스북 페이지를 좋아하는 것으로 사람을 납치하는 것을 의미합니다. 클릭 교합 방지 팁

X- 프레임 옵션

Microsoft의이 솔루션은 컴퓨터에서 클릭 재킹 공격에 대해 가장 효과적인 솔루션 중 하나입니다. 모든 웹 페이지에 X-Frame-Options HTTP 헤더를 포함 할 수 있습니다. 이렇게하면 사이트가 프레임 내에 배치되지 않습니다. X-Frame은 Safari, Chrome, IE를 포함한 대부분의 브라우저의 최신 버전에서 지원되지만 Firefox와 관련된 몇 가지 문제가있을 수 있습니다. X-Frame 사용의 가장 큰 부분은 매우 간단하지만 서버의 웹 서버 구성 및 스크립팅 언어에 대한 액세스가 필요하다는 것입니다.

페이지에서 요소 이동

공격자가 웹 페이지에 클릭 재킹을 시도합니다 너의 편에서 요소의 현재 위치를 모르고있다. 그는 기본 설정을 기반으로 감염된 요소 만 배치 할 수 있습니다. 페이지에서 요소를 이동하고 시도하는 것이 좋습니다. 예를 들어 공격자는 Facebook Like 버튼을 타겟팅 할 수 있습니다. 이 요소를 다른 위치로 이동하면 그러한 사건이 언제 발생하는지 쉽게 감지 할 수 있습니다. 이 솔루션의 유일한 문제점은 일반 사용자가 수행하기가 매우 어렵다는 것입니다.

1 회성 URL

이것은 기본 필터를 능가 할 정도로 지식이 풍부한 클릭 잭 (clickjackers)으로부터 보호하는 다소 고급 방법입니다. 핵심 페이지의 URL에 일회성 코드를 포함 시키면 공격을 훨씬 더 어렵게 만들 수 있습니다. 이는 CSRF를 방지하는 데 사용되는 nonce와 유사하지만 URL에 nonces가 포함되어 있고 해당 페이지 내의 양식이 아닌 대상 페이지에 고유하게 포함됩니다.

Framebuster Javascript

클릭 재킹 공격의 발톱을 벗어나는 또 다른 방법 감지 할 자바 스크립트 코드를 확인하는 것입니다. 이 프로세스를 프레임 버스트라고합니다.

클릭 재킹 방지 팁

전자 메일 보호 평가

강력한 전자 메일 스팸 필터를 설치하고 확인하는 것은 계정에 대한 모든 종류의 공격을 효과적으로 탐지하는 한 가지 방법입니다. 클릭 재킹 공격은 일반적으로 전자 메일을 통해 사용자를 속여 악의적 인 사이트를 방문하는 것으로 시작됩니다. 이는 인증 된 것으로 보이는 위조되거나 특수하게 조작 된 이메일을 구현함으로써 수행됩니다. 불법적 인 전자 메일 차단은 클릭 재킹 및 기타 많은 공격에 대한 잠재적 공격을 줄입니다.

웹 응용 프로그램 방화벽 사용

WEF의 웹 응용 프로그램 방화벽은 대부분의 데이터가있는 비즈니스의 경우 중요한 보안 요소입니다 인터넷에서. 이 회사 중 일부는 하나의 필요성을 무시하는 경향이 있으며 막대한 클릭 재발 사고로 공격을당하는 경향이 있습니다. 최근 데이터에 따르면 지난 10 년 간 모든 SMB 중 약 70 %가 일부 용량으로 해킹당한 것으로 나타났습니다. 판에서 엄청난 부담을 감당할 수 있으며 위험 요소를 줄이고 비용을 줄일 수 있습니다.

불행히도 공격자가 궁극적으로 기술을 습득 할 수있는 방법을 찾게되므로 클릭 재킹을 방지하는 완벽한 해결책은 없습니다.. 그럼에도 불구하고 그러한 공격에 대한 가장 효과적인 해결책은 X-Frame 및 FrameBuster Javascript입니다.

이제

를 읽으십시오: 클릭 사기 및 온라인 광고 사기 란 무엇입니까?