Pengenalan Tentang ClickJacking

Apa Itu ClickJacking?

Clickjacking adalah serangan yang menipu pengguna untuk mengklik elemen halaman web yang tidak terlihat atau disamarkan sebagai elemen lain. Ini dapat menyebabkan pengguna tanpa disadari mengunduh malware, mengunjungi halaman web jahat, memberikan kredensial atau informasi sensitif, mentransfer uang, atau membeli produk secara online.

Biasanya, clickjacking dilakukan dengan menampilkan halaman yang tidak terlihat atau elemen HTML, di dalam iframe, di atas halaman yang dilihat pengguna. Pengguna percaya bahwa mereka mengklik halaman yang terlihat tetapi sebenarnya mereka mengklik elemen yang tidak terlihat di halaman tambahan yang ditransfer di atasnya.

Halaman yang tidak terlihat bisa berupa halaman berbahaya, atau halaman yang sah yang tidak ingin dikunjungi oleh pengguna - misalnya, halaman di situs perbankan pengguna yang mengesahkan transfer uang.

Ada beberapa variasi serangan clickjacking, seperti:

• 1) Likejacking - teknik di mana tombol "Suka" Facebook dimanipulasi, menyebabkan pengguna "menyukai" halaman yang sebenarnya tidak mereka sukai.
• 2) Cursorjacking - teknik yang mengubah posisi asli kursor ke posisi lain. Cursorjacking bergantung pada kerentanan di Flash dan browser Firefox, yang sekarang telah diperbaiki.

Cara melakukan clickjacking :

Cara yang pertama digunakan untuk menguji apakah situs rentan terhadap clickjacking adalah membuat halaman HTML dan berusaha memasukkan halaman sensitif dari situs web dalam iframe. Penting untuk mengeksekusi kode uji pada server web lain, karena ini adalah perilaku khas dalam serangan clickjacking.

code:
 <html>
    <style>
      iframe {
          width:1000px;
          height:500px;
          position:absolute;
          top:0; left:0;
          filter:alpha(opacity=10); /* in a real attack this would be opacity=0 */
          opacity:0.1;
      }
    </style>
    <body>
      <button style="z-index:-1;margin-top:215px;margin-left:270px;width:50px;">Click Me</button>
      <iframe src="URL SITE VULN CLICKJACKING" width="800" height="400"></iframe>
    </body>
</html>

Contoh Clickjacking :

Contoh serangan clickjacking :

• 1) Hacker membuat halaman palsu yang menarik dan menjanjikan untuk memberikan pengguna perjalanan gratis ke jerman.
• 2) Di latar belakang hacker memeriksa apakah pengguna masuk ke situs perbankannya dan jika demikian, memuat layar yang memungkinkan transfer dana, menggunakan parameter kueri untuk memasukkan rincian bank penyerang ke dalam formulir.
• 3) Halaman transfer bank ditampilkan dalam iframe yang tidak terlihat di atas halaman hadiah gratis, dengan tombol "Konfirmasikan Transfer" tepat di atas tombol "Terima Hadiah" yang terlihat oleh pengguna.
• 4) Pengguna mengunjungi halaman dan mengklik tombol "Pesan Perjalanan Gratis Saya".
• 5) Pada kenyataannya pengguna mengklik iframe yang tidak terlihat, dan telah mengklik tombol "Konfirmasi Transfer". Dana ditransfer ke penyerang.
• 6) Pengguna diarahkan ke halaman dengan informasi tentang hadiah gratis (tidak tahu apa yang terjadi di latar belakang).

Ada dua cara yang biasanya digunakan untuk mengatasi clickjacking :

• 1) Metode sisi klien - yang paling umum disebut Frame Busting. Metode sisi klien dapat efektif dalam beberapa kasus, tetapi dianggap bukan praktik terbaik, karena metode tersebut dapat dengan mudah dilewati.
• 3) Metode sisi server - yang paling umum adalah X-Frame-Options. Metode sisi server direkomendasikan oleh para pakar keamanan sebagai cara yang efektif untuk bertahan melawan clickjacking.

Ada tiga cara untuk mengatasi clickjacking dengan header X-Frame-Options:

1) DENY - tidak mengizinkan domain apa pun untuk menampilkan halaman ini dalam sebuah bingkai
2) SAMAORIGIN - memungkinkan halaman saat ini untuk ditampilkan dalam bingkai di halaman lain, tetapi hanya di dalam domain saat ini
3) ALLOW-FROM URI - memungkinkan halaman saat ini ditampilkan dalam bingkai, tetapi hanya di URI tertentu - misalnya www.example.com/frame-page