Menu Tutup

Apa itu Clickjacking dan bagaimana hacker memanfaaykannya

Di bagian ini kami akan menjelaskan apa itu clickjacking, menjelaskan contoh umum serangan clickjacking dan membahas bagaimana melindungi terhadap serangan-serangan ini.

Apa itu clickjacking?

Clickjacking adalah serangan berbasis antarmuka di mana pengguna diperdaya untuk mengklik konten yang dapat ditindaklanjuti di situs web tersembunyi dengan mengklik beberapa konten lain di situs web umpan. Perhatikan contoh berikut:

Seorang pengguna web mengakses situs web umpan (mungkin ini adalah tautan yang disediakan oleh email) dan mengklik tombol untuk memenangkan hadiah. Tanpa sadar, mereka telah ditipu oleh penyerang untuk menekan tombol tersembunyi alternatif dan ini menghasilkan pembayaran akun di situs lain. Ini adalah contoh serangan clickjacking. Teknik ini tergantung pada penggabungan halaman web yang tidak terlihat, dapat ditindaklanjuti (atau beberapa halaman) yang berisi tombol atau tautan tersembunyi, katakanlah, dalam iframe. Iframe dilapis di atas konten halaman web umpan yang diantisipasi pengguna. Serangan ini berbeda dari serangan CSRF di mana pengguna diminta untuk melakukan tindakan seperti klik tombol sedangkan serangan CSRF tergantung pada menempa seluruh permintaan tanpa sepengetahuan atau input pengguna.

Clickjacking adalah perilaku sisi browser dan keberhasilannya atau tergantung pada fungsionalitas browser dan kesesuaian dengan standar web yang berlaku dan praktik terbaik.

Perlindungan terhadap serangan CSRF sering diberikan oleh penggunaan token CSRF: khusus sesi, nomor sekali pakai atau nonce. Serangan clickjacking tidak dimitigasi oleh token CSRF karena sesi target dibuat dengan konten yang dimuat dari situs web asli dan dengan semua permintaan terjadi di domain. Token CSRF ditempatkan dalam permintaan dan diteruskan ke server sebagai bagian dari sesi berperilaku normal. Perbedaannya dibandingkan dengan sesi pengguna normal adalah bahwa proses terjadi dalam iframe tersembunyi.

BACA JUGA  Cara Hack Password MiFi Andromax Smartfren

Cara membangun serangan clickjacking dasar

Serangan clickjacking menggunakan CSS untuk membuat dan memanipulasi lapisan. Penyerang menggabungkan situs web target sebagai lapisan iframe yang dilapis di situs web umpan. Contoh menggunakan tag gaya dan parameter adalah sebagai berikut:

<head>
<style>
#target_website {
position:relative;
width:128px;
height:128px;
opacity:0.00001;
z-index:2;
}
#decoy_website {
position:absolute;
width:300px;
height:400px;
z-index:1;
}
</style>
</head>

<body>
<div id=”decoy_website”>
…decoy web content here…
</div>
<iframe id=”target_website” src=”https://vulnerable-website.com”>
</iframe>
</body>

Iframe situs web target diposisikan di dalam browser sehingga ada tumpang tindih yang tepat dari tindakan target dengan situs web umpan menggunakan nilai posisi lebar dan tinggi yang sesuai. Nilai posisi absolut dan relatif digunakan untuk memastikan bahwa situs web target secara akurat tumpang tindih dengan umpan terlepas dari ukuran layar, jenis browser, dan platform. Indeks-z menentukan urutan susunan iframe dan lapisan situs web. Nilai opacity didefinisikan sebagai 0,0 (atau mendekati 0,0) sehingga konten iframe transparan bagi pengguna. Perlindungan clickjacking browser mungkin menerapkan deteksi transparansi iframe berbasis ambang batas (misalnya, Chrome versi 76 mencakup perilaku ini tetapi Firefox tidak). Penyerang memilih nilai opacity sehingga efek yang diinginkan tercapai tanpa memicu perilaku perlindungan.

Clickjacking dengan input formulir prefilled

Beberapa situs web yang memerlukan penyelesaian formulir dan pengiriman memungkinkan prepopulasi input formulir menggunakan parameter GET sebelum pengiriman. Situs web lain mungkin memerlukan teks sebelum pengiriman formulir. Karena GET values ​​membentuk bagian dari URL maka URL target dapat dimodifikasi untuk memasukkan nilai-nilai yang dipilih penyerang dan tombol “kirim” yang transparan dilapiskan pada situs pemikat seperti pada contoh clickjacking dasar.

BACA JUGA  Download Script Phising Free Fire (FF) Send Mail Terbaru 2020

Bingkai skrip penghilang

Serangan clickjacking dimungkinkan setiap kali situs web dapat dibingkai. Oleh karena itu, teknik pencegahan didasarkan pada pembatasan kemampuan pembingkaian untuk situs web. Perlindungan sisi klien yang umum diberlakukan melalui browser web adalah dengan menggunakan frame busting atau skrip pemecah bingkai. Ini dapat diimplementasikan melalui add-on JavaScript tambahan atau ekstensi browser seperti NoScript. Script sering dibuat sehingga mereka melakukan beberapa atau semua perilaku berikut:

  • memeriksa dan menegakkan bahwa jendela aplikasi saat ini adalah jendela utama atau atas,
  • membuat semua bingkai terlihat,
  • mencegah mengklik pada frame yang tidak terlihat,
  • mencegat dan menandai kemungkinan serangan clickjacking kepada pengguna.

Teknik penghilang bingkai seringkali merupakan browser dan platform khusus dan karena fleksibilitas HTML mereka biasanya dapat dielakkan oleh penyerang. Karena frame busters adalah JavaScript maka pengaturan keamanan browser dapat mencegah operasi mereka atau bahkan browser mungkin tidak mendukung JavaScript. Solusi penyerang yang efektif terhadap frame busters adalah dengan menggunakan atribut iframe sandbox HTML5. Ketika ini disetel dengan nilai allow-form atau allow-scripts dan nilai allow-top-navigation dihilangkan maka script frame buster dapat dinetralkan karena iframe tidak dapat memeriksa apakah ini jendela teratas atau tidak:

<iframe id=”victim_website” src=”https://victim-website.com” sandbox=”allow-forms”></iframe>

Nilai allow-form dan allow-scripts mengizinkan tindakan yang ditentukan dalam iframe tetapi navigasi tingkat atas dinonaktifkan. Ini menghambat perilaku penghilang bingkai sambil memungkinkan fungsionalitas dalam situs yang ditargetkan.

Menggabungkan clickjacking dengan serangan DOM XSS

Sejauh ini, kami telah melihat clickjacking sebagai serangan mandiri. Secara historis, clickjacking telah digunakan untuk melakukan perilaku seperti meningkatkan “like” di halaman Facebook. Namun, potensi sebenarnya dari clickjacking terungkap ketika digunakan sebagai operator untuk serangan lain seperti serangan DOM XSS. Implementasi serangan gabungan ini relatif mudah dengan asumsi bahwa penyerang pertama-tama telah mengidentifikasi exploit XSS. Eksploitasi XSS kemudian dikombinasikan dengan URL target iframe sehingga pengguna mengklik tombol atau tautan dan akibatnya mengeksekusi serangan DOM XSS.

BACA JUGA  Apa itu Eksploitasi Zero Day?

Clickjacking multistep

Manipulasi penyerang input ke situs web target mungkin memerlukan beberapa tindakan. Misalnya, penyerang mungkin ingin menipu pengguna agar membeli sesuatu dari situs web ritel sehingga barang-barang perlu ditambahkan ke keranjang belanja sebelum pesanan ditempatkan. Tindakan ini dapat di implementasikan oleh penyerang menggunakan beberapa divisi atau iframe. Serangan semacam itu membutuhkan ketelitian dan perhatian yang cukup dari perspektif penyerang jika mereka ingin menjadi efektif dan sembunyi-sembunyi.

Bagaimana mencegah serangan clickjacking

Kami telah membahas mekanisme pencegahan sisi-browser yang umum dijumpai, yaitu skrip penghilang bingkai. Namun, kita telah melihat bahwa seringkali mudah bagi penyerang untuk menghindari perlindungan ini. Akibatnya, protokol berbasis server telah dirancang yang membatasi penggunaan iframe browser dan mengurangi terhadap clickjacking.

Clickjacking adalah perilaku sisi browser dan keberhasilannya atau tergantung pada fungsionalitas browser dan kesesuaian dengan standar web yang berlaku dan praktik terbaik. Perlindungan sisi server terhadap clickjacking disediakan dengan mendefinisikan dan mengomunikasikan kendala atas penggunaan komponen seperti iframe. Namun, implementasi perlindungan tergantung pada kepatuhan browser dan penegakan batasan-batasan ini. Dua mekanisme untuk perlindungan clickjacking sisi-server adalah X-Frame-Options dan Kebijakan Keamanan Konten.

Tinggalkan Balasan