Defaults.Exposed › Glossary › Clickjacking

Clickjacking

Also known as: UI redress attack, click hijacking

Ένα κόλπο όπου το αληθινό site σας κρύβεται μέσα στη σελίδα ενός επιτιθέμενου ώστε οι επισκέπτες να κάνουν κλικ σε πράγματα που δεν βλέπουν — αποτρέπεται με μια απλή ρύθμιση που εμποδίζει το site σας να εμφανίζεται μέσα σε πλαίσιο άλλου site.

Τι είναι

Το clickjacking είναι μια εξαπάτηση. Ένας επιτιθέμενος φορτώνει το αληθινό σας site αόρατα πάνω από (ή κάτω από) τη δική του σελίδα, μετά δελεάζει έναν επισκέπτη να κάνει κλικ σε αυτό που φαίνεται ακίνδυνο κουμπί. Στην πραγματικότητα το κλικ πέφτει στο κρυφό σας site — επιβεβαιώνοντας πληρωμή, αλλάζοντας ρύθμιση ή εγκρίνοντας κάτι που ο επισκέπτης δεν σκόπευε. Το αληθινό σας site κάνει ακριβώς αυτό που του λένε· ο επισκέπτης απλά δεν βλέπει τι κάνει πραγματικά κλικ.

Γιατί αφορά την επιχείρησή σας

Αν το site σας μπορεί να ενσωματωθεί αθόρυβα στη σελίδα κάποιου άλλου, ένας απατεώνας μπορεί να χειραγωγεί τους πελάτες σας σε ενέργειες στους δικούς τους λογαριασμούς — και για τον πελάτη θα φαίνεται ότι το site σας το έκανε. Αυτό είναι άμεσο πλήγμα στην εμπιστοσύνη, και ενδεχομένως στα χρήματα των πελατών σας.

Η άμυνα είναι απλή: μια ρύθμιση που λέει στους browsers «μην επιτρέπεις στο site μου να εμφανίζεται μέσα στο πλαίσιο άλλου site.» Είναι αόρατη στους νόμιμους επισκέπτες και αχρηστεύει πλήρως την τεχνική. Σπάνια υπάρχει λόγος για ένα συνηθισμένο επαγγελματικό site να είναι ενσωματώσιμο αλλού, οπότε συνήθως αυτό είναι ένα ασφαλές, δωρεάν κέρδος.

Πώς να το ελέγξετε / τι να κάνετε

Ο δωρεάν ελεγκτής μας σας λέει αν το site σας είναι προστατευμένο από ενσωμάτωση σε πλαίσιο. Αν δεν είναι, ο οδηγός επιδιόρθωσης clickjacking δείχνει πώς να προσθέσετε τη ρύθμιση προστασίας — μια μικρή αλλαγή που κάνει όποιος διαχειρίζεται το site σας, χωρίς κόστος.

Want to fix this on your own domain? See the free guide →