web-dev-qa-db-fra.com

Comment me protéger des attaques de Clickjacking?

J'ai vu de nombreux amis à avoir été cliqués sur Facebook et des sites similaires.

Comment détecte-t-on et empêche ClickJacking? Comment devrais-je apprendre à mes amis à faire de même?

13
Manishearth

L'extension Noscript Firefox va être efficace pour vous protéger des attaques de ClickJacking.

Ce type d'attaque nécessite généralement l'attaquant d'utiliser JavaScript afin de déplacer un iframe sous votre curseur. Par conséquent, il doit être exécuté sur un site Web où l'attaquant peut injecter JavaScript. Méfiez-vous des liens vers jsfiddle.net ou sites Web similaires, qui pourraient déjà être dans votre blancheur.

En général (et cela devrait aller sans dire): Ne suivez pas les liens suspects. Il y a des menaces plus graves que des attaques de Clickjacking sur votre compte Facebook, tels que le CSRF et les logiciels malveillants.

9
copy

Le moyen le plus simple de se protéger contre Clickjacking est via Noscript . Désactiver les scripts pour toutes les pages sauf ceux en qui vous avez confiance. De plus, Activer ClearClick .

Habituellement, un site qui tente de cliquer sur votre clict vous demandera de faire quelque chose de manière rond-point et peut impliquer des éléments partiellement obscurcissibles que vous devez cliquer. Par exemple, un clickoack commun de Facebook est celui où ils vous demanderont de saisir un texte aléatoire dans une zone de texte, puis de vous demander de cliquer sur un carré bleu qui est partiellement obscurci par d'autres carrés de couleur. Dans ce cas, la zone de texte est une zone de commentaire et le carré bleu est le bouton "Ajouter un commentaire" qui a masqué le texte masqué.

Un moyen facile de vérifier que Clickjacking est de voir la source de la page et de rechercher des iframes qui ne devraient pas être là.

5
Manishearth

Une approche consiste à utiliser navigateurs séparés pour la navigation générale et la navigation sensible.

Peut-être que vous utilisez Chrome pour votre navigation générale. Si vous ouvrez votre banque en ligne dans A Chrome, pendant que vous avez des sites non approuvés dans d'autres onglets, vous êtes potentiellement potentiellement Vulnérable à toute une gamme d'attaques Web: script de site internet, CSRF, clickjacking, etc. Bien sûr, nous espérons que votre banque en ligne sera sécurisée contre ces attaques. Mais si vous utilisez un navigateur séparé pour la banque en ligne, vous êtes ne s'appuyant pas sur le site pour vous protéger.

Une approche connexe consiste à utiliser un navigateur et n'a qu'un seul onglet ouvert à la fois. Lorsque vous souhaitez effectuer des banques en ligne, vous fermez tous vos onglets, ouvrez un onglet pour la banque en ligne, faites vos services bancaires en ligne, votre déconnexion, puis reprendront la navigation normale. Cela fournit des protections similaires. Cependant, je pense que la plupart des gens préféreraient utiliser deux navigateurs distincts.

Cela ne vous protège pas contre les logiciels malveillants. Vous pouvez défendre contre les logiciels malveillants à l'aide d'une approche similaire en ayant une machine virtuelle pour la navigation générale et un fichier séparé VM pour la navigation sensible.

De plus, cela ne vous protège pas contre des vulnérabilités entièrement côté serveur telles que l'injection SQL. Il n'y a rien que vous puissiez vraiment faire à ce sujet.

4
paj28