קליקג'קינג

קליקג'קינג (אנגלית: Clickjacking) הוא סוג של מתקפת ממשק משתמש (UI redressing) שבו תוקף גורם למשתמש ללחוץ על אלמנט נראה לעין באתר או באפליקציה – אך הלחיצה משפיעה בפועל על אלמנט אחר, מוסתר או ממוקם בצורה מטעה. בדרך זו, המשתמש מבצע פעולה שלא התכוון לה – למשל לחשוף מידע רגיש, להפעיל מצלמה או לתת הרשאות – מבלי להבין מה בדיוק קרה.^[1]

דוגמאות

המשתמש מקבל קישור לסרטון – אך כאשר הוא לוחץ על "הפעלה", הוא למעשה מבצע רכישה באתר אחר.
המשתמש רואה כפתור כמו "שחק" או "המשך", אבל מעליו מונחת שכבה שקופה של כפתור "לייק" או "עקוב". הלחיצה נותנת הרשאה או מבצעת אינטראקציה חברתית בלי שהמשתמש התכוון לכך.
אתר תמים מוטמע בתוך iframe שקוף של אתר מערכת תשלומים. המשתמש לוחץ על כפתור באתר התמים ובפועל מאשר העברה לחשבון התוקף.

דרכי הגנה

כדי למנוע מתקפות קליקג'קינג מקובל להשתמש ב־Heades המיועדים לאבטחה בדפדפן, כגון:

x-frame-options שמונעת טעינה של הדף בתוך iframe.
Content Security Policy (CSP) עם ההנחיה frame-ancestors, המגבילה אילו אתרים רשאים להטמיע את הדף.

הערות שוליים

↑ Hossain Shahriar, Vamshee Krishna Devendran, Classification of Clickjacking Attacks and Detection Techniques, Information Security Journal: A Global Perspective 23, 2014-07-04, עמ' 137–147 doi: 10.1080/19393555.2014.931489

ערך זה הוא קצרמר בנושא מחשבים. אתם מוזמנים לתרום למכלול ולהרחיב אותו.

הערך באדיבות ויקיפדיה העברית, קרדיט,
רשימת התורמים
רישיון cc-by-sa 3.0

קליקג'קינג42195550Q163231

[1] Hossain Shahriar, Vamshee Krishna Devendran, Classification of Clickjacking Attacks and Detection Techniques, Information Security Journal: A Global Perspective 23, 2014-07-04, עמ' 137–147 doi: 10.1080/19393555.2014.931489

[1]