Clickjacking

Clickjacking

Clickjacking ist eine Technik, bei der ein Computerhacker die Darstellung einer Internetseite überlagert und dann dessen Nutzer dazu veranlasst, scheinbar harmlose Mausklicks und/oder Tastatureingaben durchzuführen.

Dabei lassen Angreifer die ahnungslosen Anwender – scheinbar – auf die überlagerten Objekte klicken. Tatsächlich jedoch wird der ursprüngliche Inhalt (Button/Link) der Internetseite ausgelöst. So geschieht es, dass der User – anstatt lediglich auf die ihm vorgegaukelten Links an einer Stelle zu klicken – eine vom Hacker definierte, beliebige Aktion auslöst.

Dies betrifft Seiten, die beispielsweise Links und Schaltflächen zur Konfiguration von Systemeinstellungen enthalten. Während der Nutzer also denkt, er tätige harmlose Eingaben in einer Internetseite, ändert er in Wahrheit, ohne es zu merken, z. B. Einstellungen einer angeschlossenen Kamera oder eines Mikrophons.

Beispielsweise kann so auch eine Website-Schaltfläche, die zum Absenden von Anmeldedaten dient, mit einem für den User unsichtbaren Button überlagert werden. Über diesen lassen sich die Informationen an den Angreifer übermitteln.

Im Extremfall kann ein Hacker also sein Opfer beobachten, belauschen oder sensible Daten übermitteln lassen.

Inhaltsverzeichnis

Gegenmaßnahmen

Clickjacking ist ein konzeptionelles Problem von JavaScript und Webanwendungssicherheit. Es beruht nicht auf einem "Fehler" des Anwendungsprogrammierers, insofern sind Gegenmaßnahmen nicht trivial.

Fast alle Browser haben inzwischen die Möglichkeit eingeführt, dass Webanwendungen einen Header "X-Frame-Options"[1] senden, der dem Browser anzeigt, ob die Webseite in einem Frame angezeigt werden darf oder nicht. Möglich sind hierfür die Werte "DENY" (Seite darf nicht in Frame angezeigt werden) und "SAMEORIGIN" (Seite darf nur von Frames auf der selben Domain angezeigt werden). Voraussetzung für diesen Schutz ist aber, dass er sowohl von der Webanwendung, als auch vom Browser unterstützt wird. Der Header ist bislang kein offizieller Standard. Unterstützt wird er vom Internet Explorer ab Version 8.0, Firefox ab 3.6.9, Opera ab 10.50, Safari ab 4.0 und Chrome ab 4.1.249.1042. Konqueror unterstützt diese Möglichkeit bislang nicht.

Eine weitere Möglichkeit besteht darin, dass die Webanwendung überprüft, ob sie in einem I-Frame ausgeführt wird und dies unterbindet. Dies kann sowohl per Javascript als auch serverseitig geschehen.

Literatur

Weblinks

Quellen

  1. https://developer.mozilla.org/en/The_X-FRAME-OPTIONS_response_header

Wikimedia Foundation.

Игры ⚽ Поможем написать реферат

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Clickjacking — is a malicious technique of tricking Web users into revealing confidential information or taking control of their computer while clicking on seemingly innocuous web pages.[1][2][3][4] A vulnerability across a variety of browsers and platforms, a… …   Wikipedia

  • Clickjacking — Le clickjacking, ou détournement de clic[1], est une technique malveillante visant à pousser un internaute à fournir des informations confidentielles ou à prendre le contrôle de son ordinateur en le poussant à cliquer sur des pages apparemment… …   Wikipédia en Français

  • Clickjacking — El Clickjacking, o Secuestro de clic, es una técnica maliciosa para engañar a usuarios de Internet con el fin de que revelen información confidencial o tomar control de su computadora cuando hacen clic en páginas web aparentemente inocentes . En… …   Wikipedia Español

  • clickjacking — UK [ˈklɪkˌdʒækɪŋ] / US noun [uncountable] computing the dishonest practice of taking control of an Internet user s computer by making them click with the mouse on hidden links on a website Derived words: clickjack noun countable Word forms… …   English dictionary

  • clickjacking — noun A malicious technique whereby part of a webpage is covered by transparent or misleading content that receives the user’s mouse clicks, thus causing them to execute commands they did not intend …   Wiktionary

  • NoScript — For the <noscript> HTML element, see HTML element#Other block elements. NoScript Developer(s) Giorgio Maone Stable release 2.1.8 / October 28, 2011; 10 days ago …   Wikipedia

  • List of HTTP header fields — HTTP Persistence · Compression · HTTPS Request methods OPTIONS · GET · HEAD · POST · PUT · DELETE · TRACE · CONNECT Header fields Cookie · ETag · Location · Referer DNT · …   Wikipedia

  • Liste der HTTP-Headerfelder — HTTP Header bzw. HTTP Header Felder (oft synonym genutzt; HTTP Header besitzt allerdings die Mehrdeutigkeit zwischen einem einzelnen Feld des Headerblocks und dem ganzen Headerblock. Hier wird für die Gesamtheit der Headerfelder der Begriff… …   Deutsch Wikipedia

  • NoScript — Entwickler Giorgio Maone Aktuelle Version 2.1.5 (17. Oktober 2011) Kategorie …   Deutsch Wikipedia

  • Cursorjacking — Le cursorjacking, ou détournement de curseur, est une technique malveillante visant à pousser un internaute à fournir des informations confidentielles ou à prendre le contrôle de son ordinateur en le poussant à cliquer sur des endroits d une page …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”