Hvad er Clickjacking Attack, og hvordan beskytter du dit WordPress-websted?

Internettet er baseret på tillid. Når en webbruger besøger et websted, antager de, at de knapper, de klikker på, udfører de handlinger, der er angivet på dem. Cyberkriminelle udvikler dog konstant metoder til at udnytte denne tillid. En sådan vildledende metode er clickjacking-angreb .

Clickjacking forekommer, når en angriber narrer en bruger til at klikke på noget andet end det, brugeren havde til hensigt at klikke på.

Ved at lægge et gennemsigtigt lag eller en usynlig iframe oven på en legitim side kan hackere kapre klik, der er beregnet til en dummy-knap eller et harmløst link. Dette kan føre til alvorlige konsekvenser, såsom at downloade malware , overføre penge eller ubevidst like en social medieside.

Hvis du er en hjemmesideejer, er det afgørende at forstå denne trussel. Denne guide dækker mekanikken bag denne brugergrænseflade-afhjælpningsteknik, hvordan man opdager sårbarheder , og de specifikke trin til at sikre dit WordPress-websted ved hjælp af X-Frame-Options-headeren og Content Security Policy (CSP).

Forståelse af Clickjacking-angreb: Risiciene ved UI-korrigering

Udtrykket "clickjacking" er en sammentrækning af "click" og "hijacking". I sikkerhedskredse er det formelt kendt som et UI-repareringsangreb.

Dette navn beskriver perfekt mekanismen: angriberen ændrer brugergrænsefladen (UI) for at skjule det faktiske målwebsted.

I et standard clickjacking-angreb opretter angriberen en ondsindet side. Denne side indlæser en målrettet side, typisk en følsom side såsom et banklogin eller et indstillingspanel, i en iframe.

Angriberen indstiller iframen til at være fuldt transparent. De placerer derefter deres eget synlige indhold, såsom en videoafspiller eller et krav om en gratis præmie, direkte under eller over den usynlige frame.

Brugeren klikker på, hvad de tror er en "Spil"-knap eller et link til "Hent præmie". I virkeligheden klikker de på den usynlige side, der er indlæst fra en anden oprindelse.

Fordi brugerens computer og browser stadig indeholder sessionscookies for det pågældende websted, godkendes og behandles handlingen med det samme. Brugeren har ingen anelse om, at de lige har udført en højrisikohandling.

Dette angreb udnytter internettets evne til at indramme indhold. Selvom indramning er passende til at integrere kort eller videoer, bliver det farligt, når en webside ikke eksplicit begrænser, hvem der kan indramme den.

Uden tilstrækkelig kontrol kan ethvert websted blive offer for UI-korrigering.

Læs mere: De reelle omkostninger ved WordPress-sikkerhedsfejl

Hvordan fungerer clickjacking-angreb ved hjælp af usynlige iframes og overlays?

For fuldt ud at forstå faren, må vi se på den tekniske udførelse. Kernen i et clickjacking-angreb er afhængig af CSS' opacitetsegenskab.

En angriber bygger et lokkemiddel. Dette websted fungerer som lokkemad. På denne side bruger angriberen HTML til at indlæse offerets webside i en iframe.

Koden ser måske uskyldig ud, men CSS'en fortæller en anden historie. Angriberen sætter iframens opacitet til 0,0. Dette skaber en usynlig iframe.

Selvom det indrammede indhold teknisk set er der, kan brugeren ikke se det. Angriberen placerer derefter dette usynlige lag præcist over en synlig knap på deres lokkefugleside.

Forestil dig for eksempel, at en angriber vil tvinge dig til at slette din blog. De indlæser din blogs "Slet konto"-side i en usynlig iframe. De placerer den usynlige "Slet"-knap direkte over en synlig "Vind en gave"-knap på deres ondsindede websted.

Når brugeren klikker på knappen "Vind en gave", passerer klik-hændelsen gennem de synlige elementer og rammer det øverste vindue i den usynlige ramme. Browseren fortolker dette som et legitimt klik på knappen "Slet". Da brugeren sandsynligvis er logget ind på den samme browser, udføres kommandoen øjeblikkeligt uden brugerens viden.

Denne metode giver angribere mulighed for at omgå CSRF (Cross-Site Request Forgery) tokens i nogle tilfælde, da browseren sender anmodningen, som om brugeren fysisk havde klikket på knappen på den legitime side.

Yderligere læsning: Sådan bruger du malwarebeskyttelse til at beskytte dit websted effektivt

Hovedtyper af clickjacking-angreb og almindelige variationer

Selvom den grundlæggende overlay er den mest almindelige metode, findes der flere variationer af clickjacking designet til at udnytte specifikke adfærdsmønstre eller browsersårbarheder.

Likejacking: Udnyttelse af interaktioner på sociale medier

Likejacking er en specifik form for clickjacking, der er rettet mod sociale medienetværk. Angriberen har til formål at manipulere brugeren til at "like" eller "dele" en side uden deres samtykke.

I dette scenarie indeholder den usynlige iframe en "Synes godt om"-knap på Facebook Twitter . Angriberen placerer dette gennemsigtige lag over en video eller et billede på en ondsindet side.

Når brugeren forsøger at klikke på afspilning på videoen, "synes godt om" de utilsigtet om angriberens side. Dette øger den sociale troværdighed af ondsindede websteder og letter spredningen af ​​spam eller svindel til brugerens venner.

Sårbarheder i forbindelse med indlejret Clickjacking og X-Frame-Options

Indlejret clickjacking er rettet mod websider, der forsøger at bruge frame-busting scripts, men ikke implementerer dem korrekt. Nogle ældre browsere eller specifikke konfigurationer giver angribere mulighed for at forhindre disse scripts.

I denne variant indlejrer angriberen den pågældende iframe i to forskellige frames. Ved at manipulere den måde, browseren håndterer vinduets placering og navigation på, forhindrer angriberen det legitime websted i at "bryde ud" af framen.

Dette understreger, hvorfor det ikke er bedst at udelukkende bruge klientsidescripts; robuste serversideheadere er påkrævet.

Yderligere læsning: Forebyggelse af brute force-angreb mod WordPress-websteder

CursorJacking, MouseJack og andre vildledende teknikker

CursorJacking er en meget vildledende variant. Her erstatter angriberen den faktiske musemarkør med en falsk, brugerdefineret markør. Ved hjælp af CSS og JavaScript forskyder angriberen den rigtige markør fra den falske.

Brugeren opfatter, at musen svæver over et sikkert link. Den faktiske markør (som kan være usynlig eller forskudt) svæver dog over et skadeligt element. Når brugeren klikker, sker handlingen på den rigtige markørs placering, ikke den synlige falske.

På samme måde involverer andre teknikker hurtig bevægelse af den usynlige ramme for at spore musen (MouseJack), hvilket sikrer, at den ondsindede knap altid er under markøren, uanset hvor brugeren bevæger den hen.

Læs mere: Virtuel patching i WordPress: Sådan fungerer det, og hvorfor det er vigtigt

Hvordan opdager man sårbarheder i forbindelse med clickjacking på sine websider?

Før du kan forhindre clickjacking, skal du kontrollere, om dit websted er sårbart. Heldigvis er det nemt at kontrollere for denne sårbarhed.

Den primære kontrol involverer at verificere, om din webside kan indlæses i en iframe på en anden oprindelse. Du kan gøre dette ved at oprette en simpel HTML-fil på din lokale maskine:

<html> <body> <iframe src="https://yourwebsite.com" width="500" height="500"></iframe> </body> </html>

Åbn denne fil i moderne browsere, f.eks. Chrome eller Firefox. Hvis dit websted indlæses korrekt i boksen, er du sårbar over for clickjacking.

Et sikkert websted bør nægte at oprette forbindelse eller vise et tomt område, hvilket indikerer, at browseren har blokeret det indrammede indhold.

Du kan også bruge online sikkerhedsscannere eller browsertilføjelser designet til penetrationstest. Disse værktøjer analyserer HTTP-svarheaderen på dit websted.

De kigger specifikt efter fraværet af X-Frame-Options-headeren eller Content Security Policy-headeren. Hvis disse headere mangler, vil værktøjet markere dit websted som højrisiko.

Server-Side Prevention: Brug af X-Frame-Options til at begrænse framing

Det mest traditionelle og bredt understøttede forsvar mod clickjacking er X-Frame-Options (XFO) headeren. Dette er en svarheader, der sendes af webserveren, og som fortæller browseren, om en side må gengives i en<frame> ,<iframe> ,<embed> , eller<object> .

Når en browser indlæser en side, kontrollerer den denne header. Hvis politikken overtrædes, sikrer browseren brugerens sikkerhed ved ikke at gengive indholdet.

Der er tre værdier, der typisk bruges med X-Frame-Options-headeren:

• AFVÆGT: Dette er den strengeste indstilling. Den forhindrer ethvert domæne i at indramme den anmodede side. Selv hvis siden forsøger at indramme sig selv, vil det mislykkes. Dette er ideelt til en følsom side, der aldrig behøver at blive integreret.

• SAMEOPRIND: Dette tillader, at siden kun indrammes af sider på den nøjagtige oprindelse (samme domæne, protokol og port). Dette er den mest almindelige metode til at sikre WordPress-websteder, da den giver dig mulighed for at integrere dit eget indhold, samtidig med at du blokerer eksterne angribere.

• ALLOW-FROM uri: Denne direktiv er forældet og var beregnet til at tillade framing fra en specifik URI. Den understøttes dog ikke af mange moderne browsere og bør generelt undgås til fordel for nyere standarder.

At indstille X-Frame-Options til SAMEORIGIN er ofte tilstrækkeligt til at stoppe langt de fleste clickjacking-angreb. Det sikrer, at en angriber ikke kan indlæse din loginside på deres lokkeside.

XFO har dog begrænsninger. Det tillader effektivt kun ét domæne (det samme domæne) eller intet. Det mangler granularitet, hvis du har brug for at give flere specifikke partnere mulighed for at indramme dit indhold. Til det formål har vi brug for en mere moderne løsning.

Udforsk mere: Sådan opretter du en adgangskodebeskyttet side på WordPress

Avanceret beskyttelse: Indholdssikkerhedspolitik (CSP) og frame-ancestors

Selvom X-Frame-Options er effektiv, er Content Security Policy (CSP) fremtiden for clickjacking-forsvar. CSP er et sikkerhedslag, der hjælper med at opdage og afbøde forskellige typer angreb, herunder Cross-Site Scripting (XSS) og datainjektion.

For at forhindre clickjacking bruger vi frame-ancestors-direktivet. Dette direktiv angiver de forældre, der må integrere en side.

Implementering af Frame-Ancestors-direktivet for granulær kontrol

Direktivet "frame-ancestors" tilbyder langt mere fleksibilitet end X-Frame-Options. Det giver dig mulighed for at definere en liste over domæner, der har tilladelse til at indramme dit indhold.

For eksempel kan en CSP-header til indholdssikkerhedspolitikken se sådan ud:

Indholdssikkerhedspolitik: frame-ancestors 'self' https://trusted-partner.com;

I dette eksempel:

• 'self' fungerer som SAMEORIGIN XFO-direktivet, hvilket tillader det samme domæne at indramme indholdet.
• https://trusted-partner.com tillader et specifikt eksternt websted at indramme indholdet.

Du kan også bruge jokertegn eller tillade alle HTTPS- ordninger ved at bruge "allow from https", selvom "strikt listing" er mere sikkert. Denne detaljerede kontrol er afgørende for virksomhedswebsteder, der er afhængige af integrationer på tværs af websteder.

Hvorfor er CSP-frame-ancestors bedre end frame-busting scripts?

Tidligere brugte udviklere JavaScript frame-busting-kode. Disse scripts kørte på klientsiden og kontrollerede, om den øverste vinduesplacering matchede den aktuelle vinduesplacering. Hvis ikke, forsøgte de at bryde ud af framen.

Angribere fandt hurtigt måder at neutralisere disse scripts på. Browsere som Internet Explorer (i ældre versioner) eller funktioner som HTML5 sandbox-attributten på iframes kunne blokere for kørsel af frame-busting-scriptet, hvilket gjorde forsvaret ubrugeligt.

Frame ancestors og X-Frame-Options er server-side kontroller. Angriberen kan ikke deaktivere dem, fordi browseren håndhæver reglen, før indholdet gengives. Browseren læser svarheaderen og nægter simpelthen at vise det skadelige sideelement.

Brug af CSP-frame-ancestors er den bedste praksis i øjeblikket, fordi den er standardiseret på tværs af moderne browsere. Selvom X-Frame-Options stadig er nyttigt for ældre browsere, har frame-ancestors forrang i browsere, der understøtter begge.

Trin for trin: Sikring af dit WordPress-websted mod clickjacking

Sikring af et WordPress-websted kræver tilføjelse af de korrekte headers. Du behøver ikke at være udvikler for at implementere disse ændringer, men det anbefales altid at sikkerhedskopiere dit websted, før du redigerer serverfiler.

Trin 1: Konfiguration af headere i .htaccess eller functions.php

Hvis dit WordPress-websted kører på en Apache-webserver, kan du redigere .htaccess-filen, der findes i din rodmappe.

For at implementere X-Frame-Options-headeren skal du tilføje denne linje:

<IfModule mod_headers.c>Header tilføjer altid X-Frame-Options SAMEORIGIN</IfModule>

Sådan implementerer du indholdssikkerhedspolitikken med frame-ancestors:

<IfModule mod_headers.c>Header tilføjer altid Content-Security-Policy "frame-ancestors 'self';"</IfModule>

Denne konfiguration sikrer, at kun dit eget websted kan indramme dine sider. For at tillade en partner skal du blot tilføje deres URL efter 'self'.

Alternativt kan du tilføje headers via WordPress' functions.php-fil i dit aktive tema. Denne metode fungerer uanset servertypen ( Apache eller Nginx ), så længe PHP håndterer headerne:

function add_security_headers() { header('X-Frame-Options: SAMEORIGIN'); header("Indholdssikkerhedspolitik: frame-ancestors 'self';"); } add_action('send_headers', 'add_security_headers'); }   Send_headers *** **Send_headers ..

Denne kode kobles til WordPress' headergenereringsprocessen og indsætter beskyttelsesdirektiverne for hver webside, der vises.

Trin 2: Brug af WordPress-sikkerhedsplugins til klientsideforsvar

Hvis det føles for risikabelt at redigere kode, kan du bruge WordPress-sikkerhedsplugins. Mange omfattende sikkerhedspakker tilføjer automatisk disse headere.

• All-In-One Security (AIOS): Dette plugin har specifikke indstillinger til iframe-beskyttelse. Du kan aktivere "Afvis dårlige forespørgsler" og specifikke firewallregler, der ofte inkluderer administration af frame-indstillinger.

• Headers Security Advanced & HSTS WP: Dette dedikerede plugin giver dig mulighed for at konfigurere specifikke HTTP-headere uden at kræve kodeændringer. Du kan vælge X-Frame-Options fra en rullemenu og indstille den til SAMEORIGIN.

Selvom plugins er praktiske, skal du sørge for, at de konfigurerer svarheaderen korrekt.

Nogle plugins tilføjer muligvis kun metatags , som er mindre effektive til frame-ancestors (CSP via metatags understøtter ikke frame-ancestors). Bekræft altid resultatet ved hjælp af en online header-tjekker.

Konklusion

Truslen fra clickjacking er vedvarende, fordi den udnytter brugerens visuelle opfattelse snarere end en softwarefejl. Så længe browsere understøtter iframes, vil angribere forsøge at rette op på brugergrænsefladen.

For en hjemmesideejer betyder det at ignorere denne sårbarhed at risikere brugernes sikkerhed og dit websteds omdømme. En bruger, der ender med at downloade malware eller miste penge på grund af en knap på dit websted, vil miste tilliden til dit brand.

Løsningen er et lagdelt forsvar.

• Revision: Scan regelmæssigt dine websider for at se, om de kan indrammes.

• Implementer XFO: Brug X-Frame-Options-headeren indstillet til SAMEORIGIN for at beskytte brugere på ældre browsere og andre browsere, der muligvis ikke fuldt ud understøtter CSP.

• Implementer CSP: Anvend direktivet om frame-ancestors i Content Security Policy for at opnå robust og detaljeret kontrol i moderne browsere.

• Overvåg: Brug sikkerheds-plugins til at sikre, at headere forbliver aktive efter tema- eller serveropdateringer.

Ved at tage kontrol over, hvordan dit indhold er indrammet, afmonterer du effektivt de usynlige lag, som hackere er afhængige af. Du sikrer, at når en bruger klikker, udfører de handlinger, de har til hensigt, og beskytter dem dermed mod at blive ofre for et af internettets mest vildledende angreb.

Ofte stillede spørgsmål om et clickjacking-angreb