CapSolver Diện mạo mới

Tấn công nhấp chuột

Tấn công Clickjacking

Một cuộc tấn công lừa đảo trên web trong đó kẻ tấn công lừa người dùng tương tác với các phần tử ẩn hoặc bị sai lệch thay vì các phần tử hiển thị.

Định nghĩa

Clickjacking (còn được gọi là click hijacking hoặc sửa đổi giao diện người dùng) là một lỗ hổng bảo mật trong đó các tác nhân xấu che giấu hoặc lừa đảo các phần tử trang web để khi người dùng nghĩ họ đang nhấp vào nút, liên kết hoặc điều khiển hiển thị, họ thực sự đang kích hoạt một hành động không mong muốn trên giao diện ẩn. Điều này thường tận dụng các khung iframe trong suốt hoặc các phần tử HTML/CSS chồng lớp để lừa người dùng kích hoạt các sự kiện như xác nhận thanh toán, kích hoạt quyền truy cập camera/microphone hoặc gửi dữ liệu nhạy cảm mà không nhận thức. Nói cách khác, nó lấy cắp đầu vào của người dùng bằng cách khiến họ tương tác vô tình với nội dung bị che giấu thực hiện các hành động có hậu quả nghiêm trọng. Clickjacking vẫn là một rủi ro đáng kể trong an ninh web, đòi hỏi các nhà phát triển phải áp dụng các biện pháp bảo vệ chống lại sự lừa đảo dựa trên giao diện này.

Ưu điểm

  • Giúp các chuyên gia an ninh hiểu sâu sắc các kỹ thuật lạm dụng giao diện người dùng.
  • Làm nổi bật các điểm yếu trong thiết kế trình duyệt và ứng dụng để cải thiện chiến lược phòng thủ.
  • Có thể cung cấp thông tin để phát triển các tiêu đề bảo vệ như X-Frame-Options và CSP frame-ancestors.

Nhược điểm

  • Có thể dẫn đến các giao dịch tài chính vô tình hoặc mua sắm không được phép.
  • Có thể tiết lộ thông tin nhạy cảm như mật khẩu hoặc dữ liệu cá nhân cho kẻ tấn công.
  • Cho phép kẻ tấn công kích hoạt quyền truy cập thiết bị (ví dụ: webcam) mà không có sự đồng ý của người dùng.
  • Dễ thực hiện với HTML/CSS cơ bản và thao tác iframe.

Trường hợp sử dụng

  • Các tội phạm mạng lừa người dùng thích hoặc chia sẻ nội dung trên nền tảng mạng xã hội (likejacking).
  • Kẻ tấn công che khuất các nút thanh toán để khởi tạo giao dịch không được phép.
  • Các trang web độc hại khiến người dùng vô tình cấp quyền truy cập vào webcam hoặc microphone của họ.
  • Các liên kết lừa đảo gây cài đặt phần mềm độc hại hoặc chuyển hướng đến các trang web gây hại.
  • Các đánh giá an ninh mô phỏng Clickjacking để kiểm tra khả năng phòng thủ giao diện trong ứng dụng web.