Defaults.Exposed › Parandused › Klikkimise varguse kaitse (X-Frame-Options)

Kuidas parandada Klikkimise varguse kaitse (X-Frame-Options)

Üherealine juhis, mis ütleb brauseritele mitte lubada teistel veebisaitidel laadida teie saiti oma sisse vaikselt. Ilma selleta saab pettur peita teie päris, sisse logitud lehed võlta lehe taha ja petta teie kliente klõpsama asjadele, mida nad kunagi ei kavatsenud — kinnitama makset, muutma parooli, andma juurdepääsu.

Põhijareldus sinu ettevõttele: Pettur saab teie elus olevat veebisaiti nähtamatult võlts saidi sisse mässida ja varastada raha või kontojuurdepääsu teie sisse logitud klientidelt — ning kliendi jaoks näib see nagu teie sait tegi seda. Parandus on tasuta ja võtab arendajal umbes 15 minutit; selle välja jätmine on teadaolev lünk, mida nii kurjategijad kui ettevaatlikud ostjad saavad sekunditega avastada.

Mida see sulle maksab

Pettur peidab teie päris sisselogimis- või makselehe kahjutu näiva lehe taha ja petab kliendi 'kinnitama' ülekande või seadistuse muudatuse seda tajumata — klient süüdistab teid, mitte ründajat.
Teie sisse logitud kontovaba laaditakse nähtamatult 'Olete võitnud — klõpsa nõudmiseks' lehe peale; klõps kinnitab tegelikult päris muutuse kliendi kontol ning teie saate vihase tugikõne.
Potentsiaalse kliendi IT-meeskond teeb kiire turvaskannimise enne allkirjastamist, näeb, et teie saiti saab igaüks manistada, ja märgib seda riskina, mis peatab tehingu või hävitab selle.
Teie kaubamärgist saab pettuse kampaania sööt; kliendid, kes langevad ohvriks, mäletavad seda kui 'ettevõte, kelle sait selle lasi juhtuda.'
Audiitori või küberveekindlustuse skannimine loetleb puuduva klikkimise varguse kaitse põhilise hügieeni ebaõnnestumisena — odav parandada, piinlik, kui see märgitakse.

Miks see on oluline. See on tasuta, üherealine seadistus, mis võtab lisamiseks minuteid ning sulgeb terve trikkerite klassi, mis on suunatud teie sisse logitud klientidele. Meie hindamisel on see väärtuslik reaalpunkte veebiturvalisuse kontroll, mis on hinnatud kõrge raskusega, sest puuduv päis jätab teadaoleva, lihtsalt kontrollitava augu, mida kurjategijad automatiseerivad ja ostjad otsivad.

Mis see on lihtsas keeles

Kui keegi külastab teie veebisaiti, saab nende brauser käsitleda ka teie saidi laadimist kellegi teise veebisaidi sees — nagu väike aken manistatud suurema lehe sisse. See kõlab kahjutu ja mõnikord on see nii. Kuid see on mehhanism rünnaku taga, mida nimetatakse klikkimise varguseks.

Siin on trikk. Pettur ehitab oma lehe ja laadib vaikselt teie päris veebisaidi selle sisse — nähtamatult, muutes selle täiesti läbipaistvaks. Seejärel asetab ta oma sisu peale: särav nupp, “Mängi videot”, “Nõua oma auhinda”. Teie klient näeb ründaja lehte ja klõpsab, mis näib kahjutu nupuna. Kuid kuna teie päris sait istub nende kursori all nähtamatult, maandub klõps teie lehele — kinnitades makse, muutes parooli, andes juurdepääsu, aktsepteerides loa. Klient arvab, et klõpsas ühte asja; nad tegelikult klõpsasid teist, saidil, mida nad usaldavad.

Klikkimise varguse kaitse on lühike, nähtamatu juhis, mille teie veebisait saadab igale külastaja brauserile, mis sisuliselt ütleb:

“Ärge lubage teistel veebisaitidel mind nende sees laadida. Kui keegi proovib, keelduge.”

Kaasaegsed brauserid järgivad seda automaatselt. Selle sisselülitatuna ei tööta trikk lihtsalt — teie saidi manistatud koopia keeldub laadimisest. Ilma selleta on teie sait avatud kasutamiseks pettuse peidetud kihina ning klient, kes langeb ohvriks, seostab kogu asja teie kaubamärgiga, mitte ründajaga.

Mida see võib teile maksma minna

Need on realistlikud, igapäevased stsenaariumid.

Nähtamatu “kinnita”. Klient on teie kontoportaali sisse logitud ühes sakis. Nad maanduvad lehele (reklaamist, kirjast, otsingutulemusest), mis lubab midagi ahvatlevat ja näitab suurt “Jätka” nuppu. Selle nupu all on peidetud teie päris “Kinnita ülekanne” või “Muuda meili” juhtnupp, mis on laaditud nende enda sisse logitud seansist. Nad klõpsavad “Jätka” — ja lubavad teadmatult tegeliku muudatuse oma päris kontol teie juures. Nende ja teie tugimeeskonna jaoks näib see, nagu nemad tegid seda teie saidil.
Seadistuste kaaperdamine. Ründaja raamib teie kontoseadete lehe ja katab selle süütu mängu või küsitlusega. Mõni klõps õigetes kohtades keerab vaikselt seadistust — lisab ründaja meili taastamise aadressina, annab rakendusele loa või keelab turvahoiatuse. Konto on nüüd vaikselt ohustatud ja sel hetkel ei näinud midagi valesti.
Tehing, mis peatub. Suurem klient saadab enne allkirjastamist oma standardi turvakomplekti. Üks rida küsib, kas teie sait seadistab rämpskaitsme (X-Frame-Options / CSP frame-ancestors). Teie IT-kontakt peab vastama “ei” ning hankimine peatub, samal ajal kui kiirustate parandama tasuta, 15-minutilist seadistust, mis nüüd näib punase lipuna ostja ees.
Kaubamärk-söödana kampaania. Kuna teie päris, usaldusväärsed lehed on manistava, kasutab ründaja teie sisselogimist või kassalauda veenva kihina laiemas andmepüügikampaanias. Kliendid, kes langevad ohvriks, ei süüdista anonüümset ründajat — nad mäletavad seda kui korda, kui “teie sait” lasi neil pettusesse sattuda.
Auditi märge. Kindlustusandja skannimine või teie turvaseisundit ülevaatav audiitor loetleb leidude hulgas puuduva klikkimise varguse kaitse. See on kooliraamatu põhilise hügieeni üksus; see märgituna annab signaali, et lihtsad, tasuta kaitsemehhanismid polnud olemas — mis värvib seda, kuidas ülejäänud teie turvalisust hinnatakse.

Läbiv joon: kahju maandub päris, sisse logitud kliendile, kes teeb midagi, mida ta ei kavatsenud — ning see kannab teie nime, mitte ründaja.

Mis see tegelikult on

Kui brauser küsib teie veebisaidilt lehte, saadab teie server lehe tagasi koos mõne nähtamatu “päisega” — lisajuhised, mida brauser loeb, kuid külastaja ei näe. Klikkimise varguse kaitse tarnitatakse nende päiste kaudu. Neid on kaks ning meie kontroll läbib, kui kumbki on olemas:

1. Vanem päis — X-Frame-Options:

X-Frame-Options: SAMEORIGIN

See on pikaajaline, laialdaselt toetatud juhtnupp. See võtab ühe kahest praktilisest väärtusest:

SAMEORIGIN — teie enda sait võib oma lehti manistada, kuid ükski välissait ei saa. Ohutu vaikimisi peaaegu kõigile.
DENY — keegi ei saa teie lehti manistada, sealhulgas teie ise. Kasutage seda ainult siis, kui teie sait ei raamista kunagi oma sisu.

2. Kaasaegne päis — sisuturbepoliitika frame-ancestors:

Content-Security-Policy: frame-ancestors 'self';

See on uuem, paindlikum juhtnupp ning see, millele praegused standardid osutavad. See teeb sama tööd, kuid võimaldab olla täpne selles, kes teid manistada võib:

frame-ancestors 'self' — samaväärne SAMEORIGIN-iga.
frame-ancestors 'none' — samaväärne DENY-ga.
frame-ancestors 'self' https://partner.näide.com — teie enda sait pluss üks nimeline, usaldusväärne partner ja mitte keegi teine.

Milline näeb välja “hea” tulemus

Tugevaim seadistus kasutab mõlemat: frame-ancestors kaasaegsetele brauseritele (ning lubatud manistajate täpseks nimetamiseks) ja X-Frame-Options: SAMEORIGIN varuplaanina vanematele klientidele. Meie kontroll rahuldutakse kummaga eraldi — kuid kuna mõlemad on tasuta ja võtavad sama paar minutit, pole põhjust mõlemat mitte seadistada.

Üks oluline detail, mida teie arendaja peaks teadma: Content-Security-Policy-Report-Only päis ei jõusta midagi — see ainult teatab. Kui soovite klikkimise varguse kaitset tegelikult jõustada, peab see tulema jõustavast päisest (tavaline Content-Security-Policy koos frame-ancestors-iga, või X-Frame-Options), mitte ainult-aruandest.

Kuidas seda parandada (tasuta, ~15 minutit)

Andke see jaotis kellelele, kes haldab teie veebisaiti — teie IT-inimesele, veebiarendajale või hostiteenuse toele. Parandus on tasuta. See on üks või kaks vastuse päist või reegel teie CDN-is. Pole midagi osta.

Kontroll läbib, kui kas X-Frame-Options päis (seatud DENY-le või SAMEORIGIN-ile) või CSP frame-ancestors direktiiv on olemas. Soovitatav kõige tugevam seadistus lisab mõlemad.

1. samm — Otsustage, kui range olla

Enamik ettevõtteid: SAMEORIGIN / frame-ancestors 'self'. Teie enda sait jätkab tööd; välissaidid blokeeritakse.
Kui teie sait ei manista kunagi oma lehti: DENY / frame-ancestors 'none' maksimaalse lukustuse jaoks.
Kui päris partner peab manistama konkreetse lehe: nimetage neid selgesõnaliselt frame-ancestors 'self' https://partner.näide.com;-ga ja mitte keegi teine ei pääse sisse.

2. samm — Lisage päised (valige oma platvorm)

Nginx — oma server bloki sees:

add_header X-Frame-Options "SAMEORIGIN" always;
add_header Content-Security-Policy "frame-ancestors 'self';" always;

Apache — veenduge, et mod_headers on lubatud, seejärel oma virtuaalhostis:

Header always set X-Frame-Options "SAMEORIGIN"
Header always set Content-Security-Policy "frame-ancestors 'self';"

Microsoft IIS — web.config-is <customHeaders> sees:

<add name="X-Frame-Options" value="SAMEORIGIN" />
<add name="Content-Security-Policy" value="frame-ancestors 'self';" />

Cloudflare (või sarnane CDN): minge Reeglid → Muutmisreeglid → Muutke vastuse päist ja lisage kaks reeglit, mis seavad X-Frame-Options-i SAMEORIGIN-ile ja Content-Security-Policy-l frame-ancestors 'self';-le kõigis vastustes. See on lihtsaim tee, kui teil pole otset serveri juurdepääsu.

Juba saate sisuturbepoliitikat muul põhjusel? Ärge looge teist CSP päist — lisage frame-ancestors oma olemasolevale poliitikale. Kaks CSP päist võivad konflikti minna.

Saidiehitajad (Squarespace, Wix, Shopify ja sarnased): need platvormid seadistavad sageli rämpskaitsme teie eest, nii et võite juba läbida ilma midagi tegemata. Kui meie kontroll seda märgib, on juhtnupp tavaliselt platvormi turvaseadetes või lisate selle CDN-is oma saidi ees. (Märkus: Google Workspace ja Microsoft 365 käitavad teie meili, mitte teie veebisaiti — see päis seadistatakse kus iganes teie avalik sait tegelikult asub, mitte Workspace/365 administraatoris.)

3. samm — Laadige uuesti ja kinnitage

Laadige veebisrver uuesti või juurutage CDN-i reegel, seejärel laadige oma reaalsait ja kontrollige vastuse päiseid — brauseri arendustööriistad → Võrgu sakk → klõpsake lehekülje päringule → Vastuse päised, või mis tahes tasuta päise kontroll. Kinnitage, et päis(ed) ilmuvad reaalsete lehevastuste korral, mitte ainult avalehe. Seejärel käivitage kontroll uuesti.

Levinud vead

Ainult-aruande CSP kasutamine ja eeldamine, et see kaitseb teid. Content-Security-Policy-Report-Only teatab ainult rikkumistest — see ei jõusta midagi. Teil on vaja jõustavat päist, et kaitse jõustuks.
Kahe eraldi Content-Security-Policy päise seadmine. Kui teil on juba CSP, lisage frame-ancestors sellele, mitte eraldi poliitika väljastamisel; vastuolulised CSP päised võivad anda ootamatut käitumist.
DENY seadmine, kui teie enda sait manistab oma lehti. DENY blokeerib kõik raamimise, sealhulgas teie enda. Kui teie saidi mõni osa kasutab oma iframesid, kasutage selle asemel SAMEORIGIN / frame-ancestors 'self', muidu lõhkute oma lehed.
Ainult avalehe kaitsmine. Klikkimise varguse jaoks olulisimad lehed on sisse logitud lehed — kontoseadistused, makse kinnitus, administraator. Veenduge, et päised rakendatakse kogu saidile, mitte ainult esileheküljele.
Eeldamine, et HTTPS või tabalukk katab selle juba. Krüpteerimine ja rämpskaitsmine pole seotud. Täiuslik sertifikaat ei tee midagi, et takistada teie lehtede manistamist.
Vanade lahenduste kasutamine. “Raami lõhkuv” JavaScript (skriptid, mis püüavad raamidest välja murda) on ebausaldusväärsed ja neid saab mööda minna. Päised on õige, brauseri jõustatud parandus.

KKK

Ma pole tehniline — kas saan ise sellega tegeleda?

Te ei pea tehnilist osa tegema. See on üks seadistus, mis lisatakse teie veebisaidi serverile või CDN-ile, ning mis tahes veebiarendaja või IT-teenuse pakkuja saab selle lisada mõne minutiga. Andke neile allolev jaotis 'Kuidas seda parandada' — see ütleb neile täpselt, mida lisada. Parandus on tasuta; me küsime tasu ainult siis, kui soovite, et me jälgiksime selle paigaldatust aja jooksul.

Kas see peatab minu enda saiti või legitiimseid partnereid minu lehtede kuvamisest?

Ainult siis, kui seadistate liiga rangelt. Tavaline seadistus ('SAMEORIGIN' või 'frame-ancestors self') lubab endiselt teie enda veebisaidil oma lehti normaalselt manistada — see blokeerib ainult välissaidid. Kui päris partner vajab ühe teie konkreetse lehe manistamist, saab teie arendaja lubada selle üksiku allika, blokeerides ikka kõiki teisi.

Oleme väikeettevõte — kas keegi tõesti vaevaks meie sihtimisega?

Need rünnakud käivitatakse hulgi automaatsete tööriistadega, mitte käsitsi valituna. Väiksemaid saite tabatakse sageli just seetõttu, et neil puuduvad põhilised kaitsemehhanismid. Ründaja ei pea teadma, kes te olete — tal on vaja ainult, et teie sait oleks manistav. Lünga sulgemine ei maksa teile midagi.

Milline näeb 'hea' tegelikult välja?

Kas X-Frame-Options päis seatud SAMEORIGIN-ile (või DENY-le) või sisuturbepoliitika koos frame-ancestors direktiiviga — ideaaljuhul mõlemad. Meie kontroll läbib, kui kumbki on olemas. Kaasaegne, paindlikum kontroll on frame-ancestors; X-Frame-Options on vanem päis, mis katab ikka mõned vanemad brauserid, nii et kõige tugevam seadistus kasutab mõlemat.

Kas see pole sama mis SSL tabalukk või HTTPS?

Ei — need kaitsevad täiesti erinevate asjade vastu. HTTPS krüpteerib ühenduse, nii et keegi ei saa seda transiidil lugeda. Klikkimise varguse kaitse takistab teie lehtede laadimist kellegi teise saidi sees üldse. Teil võib olla täiuslik tabalukk ja siiski olla klikkimise varguse suhtes lahtine. Need on eraldiseisvad kontrollid ja soovite mõlemat.

Kui me ei paranda, kas see alandab meie hinnet?

Jah. See on hindamisväärt veebiturvalisuse kontroll, mitte informatiivne — puuduv päis maksab punkte ja on hinnatud kõrge raskusega, sest see avab otseselt teie sisse logitud kliendid pettusele. See on ka üks odavamaid punkte taastada: üks tasuta päis, umbes 15 minutit arendaja aega.