Defaults.Exposed › Glossary › Clickjacking

Clickjacking

Also known as: UI redress attack, click hijacking

Thủ thuật ẩn trang web thật của bạn bên trong trang của kẻ tấn công để khách truy cập nhấp vào những thứ họ không nhìn thấy — được bảo vệ bằng cài đặt đơn giản ngăn trang của bạn bị nhúng vào frame.

Clickjacking là gì

Clickjacking là sự lừa dối. Kẻ tấn công tải trang web thật của bạn vô hình lên trên (hoặc bên dưới) trang của chúng, rồi dụ khách truy cập nhấp vào trông như nút vô hại. Thực tế cú nhấp đó rơi vào trang web ẩn của bạn — xác nhận thanh toán, thay đổi cài đặt hoặc phê duyệt điều gì đó mà khách truy cập không bao giờ có ý định. Trang web thật của bạn đang làm chính xác những gì được yêu cầu; khách truy cập chỉ không thể thấy họ thực sự đang nhấp vào gì.

Tại sao điều này quan trọng với doanh nghiệp của bạn

Nếu trang web của bạn có thể được âm thầm nhúng vào trang của người khác, kẻ lừa đảo có thể điều khiển khách hàng của bạn thực hiện các hành động trên tài khoản của chính họ — và với khách hàng, nó trông như trang web của bạn đã làm điều đó. Đó là đòn trực tiếp vào niềm tin, và có thể là vào tiền của khách hàng.

Biện pháp phòng thủ rất đơn giản: một cài đặt cho trình duyệt biết “đừng hiển thị trang web của tôi bên trong frame của trang khác.” Vô hình với khách truy cập hợp lệ và đóng hoàn toàn kỹ thuật đó. Hiếm khi có lý do để trang web doanh nghiệp thông thường có thể nhúng ở nơi khác, vì vậy đây thường là cải tiến miễn phí, an toàn.

Cách kiểm tra và xử lý

Công cụ kiểm tra miễn phí của chúng tôi cho bạn biết trang web của bạn có được bảo vệ chống bị đặt trong frame không. Nếu không, hướng dẫn khắc phục clickjacking cho thấy cách thêm cài đặt bảo vệ — thay đổi nhỏ do người quản lý trang web của bạn thực hiện, không tốn chi phí.

Want to fix this on your own domain? See the free guide →