RAZPiblog Soft RAZPiblog Soft

Pengenalan Awal Tentang ClickJacking


Apa Itu ClickJacking?

Clickjacking adalah serangan yang menipu pengguna untuk mengklik elemen halaman web yang tidak terlihat atau disamarkan sebagai elemen lain. Ini dapat menyebabkan pengguna tanpa disadari mengunduh malware, mengunjungi halaman web jahat, memberikan kredensial atau informasi sensitif, mentransfer uang, atau membeli produk secara online.

Biasanya, clickjacking dilakukan dengan menampilkan halaman yang tidak terlihat atau elemen HTML, di dalam iframe, di atas halaman yang dilihat pengguna. Pengguna percaya bahwa mereka mengklik halaman yang terlihat tetapi sebenarnya mereka mengklik elemen yang tidak terlihat di halaman tambahan yang ditransfer di atasnya.

Halaman yang tidak terlihat bisa berupa halaman berbahaya, atau halaman yang sah yang tidak ingin dikunjungi oleh pengguna - misalnya, halaman di situs perbankan pengguna yang mengesahkan transfer uang.

Ada beberapa variasi serangan clickjacking, seperti:

  • 1) Likejacking - teknik di mana tombol "Suka" Facebook dimanipulasi, menyebabkan pengguna "menyukai" halaman yang sebenarnya tidak mereka sukai.
  • 2) Cursorjacking - teknik yang mengubah posisi asli kursor ke posisi lain. Cursorjacking bergantung pada kerentanan di Flash dan browser Firefox, yang sekarang telah diperbaiki.
Cara melakukan clickjacking :

Cara yang pertama digunakan untuk menguji apakah situs rentan terhadap clickjacking adalah membuat halaman HTML dan berusaha memasukkan halaman sensitif dari situs web dalam iframe. Penting untuk mengeksekusi kode uji pada server web lain, karena ini adalah perilaku khas dalam serangan clickjacking.

Code:
Contoh Clickjacking :


Contoh serangan clickjacking :

Ada dua cara yang biasanya digunakan untuk mengatasi clickjacking :

  • 1) Metode sisi klien - yang paling umum disebut Frame Busting. Metode sisi klien dapat efektif dalam beberapa kasus, tetapi dianggap bukan praktik terbaik, karena metode tersebut dapat dengan mudah dilewati.
  • 3) Metode sisi server - yang paling umum adalah X-Frame-Options. Metode sisi server direkomendasikan oleh para pakar keamanan sebagai cara yang efektif untuk bertahan melawan clickjacking.
Ada tiga cara untuk mengatasi clickjacking dengan header X-Frame-Options:

1) DENY - tidak mengizinkan domain apa pun untuk menampilkan halaman ini dalam sebuah bingkai
2) SAMAORIGIN - memungkinkan halaman saat ini untuk ditampilkan dalam bingkai di halaman lain, tetapi hanya di dalam domain saat ini
3) ALLOW-FROM URI - memungkinkan halaman saat ini ditampilkan dalam bingkai, tetapi hanya di URI tertentu - misalnya www.example.com/frame-page


See Also :