Defaults.Exposed › Glossary › Clickjacking

Clickjacking

Also known as: UI redress-aanval, click hijacking

Een truc waarbij je echte website verborgen wordt in de pagina van een aanvaller, zodat bezoekers op dingen klikken die ze niet zien — af te weren met een simpele instelling die voorkomt dat je site in een frame wordt gezet.

Wat het is

Clickjacking is misleiding. Een aanvaller laadt je echte website onzichtbaar boven (of onder) zijn eigen pagina en verleidt een bezoeker vervolgens tot het klikken op wat een onschuldige knop lijkt. In werkelijkheid landt de klik op jouw verborgen site — die een betaling bevestigt, een instelling wijzigt of iets goedkeurt wat de bezoeker nooit bedoelde. Je echte site doet precies wat hem opgedragen wordt; de bezoeker ziet alleen niet waar hij eigenlijk op klikt.

Waarom het belangrijk is voor je bedrijf

Als je site ongemerkt in andermans pagina kan worden ingebed, kan een oplichter je klanten als marionetten acties op hun eigen accounts laten uitvoeren — en voor de klant lijkt het alsof jouw site dat deed. Dat is een directe klap voor het vertrouwen, en mogelijk voor het geld van je klanten.

De verdediging is eenvoudig: een instelling die browsers vertelt mijn site mag niet in het frame van een andere site worden getoond. Het is onzichtbaar voor legitieme bezoekers en sluit de techniek volledig af. Er is zelden een reden waarom een gewone bedrijfssite elders inbedbaar zou moeten zijn, dus dit is meestal een veilige, gratis winst.

Hoe je het herkent / wat je doet

Onze gratis checker vertelt je of je site beschermd is tegen het in een frame zetten. Is dat niet zo, dan laat de clickjacking-herstelgids zien hoe je de beschermende instelling toevoegt — een kleine wijziging door degene die je website beheert, kosteloos.

Want to fix this on your own domain? See the free guide →