Skelbimas
Įsilaužėlių ir kenkėjiškų programų platintojų prieigos prie jūsų kompiuterio būdai yra keli dalykai, apie kuriuos daug kalbama: socialinė inžinerija Kas yra socialinė inžinerija? [„MakeUseOf“ paaiškina]Galite įdiegti stipriausią ir brangiausią šios srities ugniasienę. Galite išmokyti darbuotojus apie pagrindines saugos procedūras ir tvirtų slaptažodžių pasirinkimo svarbą. Jūs netgi galite užrakinti serverio kambarį, bet kaip ... Skaityti daugiau , SQL injekcija Kas yra SQL įpurškimas? [„MakeUseOf“ paaiškina]Interneto saugumo pasaulį kamuoja atviri uostai, užpakalinės durys, saugumo skylės, trojos arklys, kirminai, ugniasienės pažeidžiamumas ir daugybė kitų problemų, kurios kiekvieną dieną mus palieka ant kojų. Privatiems vartotojams ... Skaityti daugiau , DDoS išpuoliai Kas yra „DDoS Attack“? [„MakeUseOf“ paaiškina]Terminas DDoS švilpauja praeityje, kai kibernetinis aktyvumas masiškai kilstelėjo galvą. Tokie išpuoliai dėl įvairių priežasčių tampa tarptautinėmis antraštėmis. Problemos, dėl kurių greitai pradedamos šios DDoS atakos, yra dažnai ginčytinos ar labai ... Skaityti daugiau , ir taip toliau. Bet apie vieną išpuolį, apie kurį ne tiek kalbama, tiek, kad jis yra toks pat nemandagus, kaip ir kiti „clickjacking“.
Spustelėjimą yra sunku aptikti, jis gali turėti įtakos beveik visiems ir yra paplitęs daugelyje operacinių sistemų ir programų. Štai ką reikia žinoti apie paspaudimų judesius, įskaitant tai, kas tai yra, kur jį matysite ir kaip apsisaugoti nuo jo.
Kas yra „Clickjacking“?
Kaip jau galėjote surinkti iš vardo, „clickjacking“ yra naudotojo paspaudimo ant „užgrobimo“ procesas kompiuteris (jis taip pat gali būti naudojamas paslėpti klavišų paspaudimus, tačiau „klaviatūros paspaudimas“ yra daug sunkiau pasakyti). Šis procesas gali vykti įvairiais būdais, tačiau jie visi turi vieną bendrą bruožą: vartotojas galvoja, kad spustelėja vieną dalyką, o iš tikrųjų spustelėja ką nors kita.
Daugelyje „clickjacking“ atakų yra skaidri vartotojo sąsaja, esanti virš kitos sąsajos, kurią vartotojas tikisi pamatyti (todėl „UI taisymas“ yra kitas šio metodo pavadinimas). Tada, kai tas vartotojas mano, kad kažką spustelėja, jis iš tikrųjų spustelėja ką nors kito, ko jie nemato. Galite pamanyti, kad spustelėjate nuorodą, kuri jus užregistruos šaunus informacinis biuletenis Sužinokite ką nors naujo su 10 „Worth-It“ el. LaiškųŠiandien būsite nustebinti naujienlaiškių kokybe. Jie grįžta. Prenumeruokite šiuos dešimt fantastinių naujienlaiškių ir sužinokite kodėl. Skaityti daugiau , kai iš tikrųjų spustelite mygtuką, kuris, pavyzdžiui, suteikia elektroniniu kriminaliniu būdu prieigą prie jūsų el. pašto paskyros.
Kitas atakos tipas keičia faktinę vartotojo žymeklio padėtį, tačiau ekranas nepaliekamas toks, kad žymeklis atrodytų, kad jis yra vienoje vietoje, bet faktiškai yra kitoje. Panašu, kad tai būtų tiesiog didelis susierzinimas, tačiau tai gali būti panaudota norint priversti žmones spustelėti dalykus, kurie atiduoda neskelbtina informacija 10 dalių informacijos, kuri naudojama jūsų tapatybei pavogtiAsmens tapatybės vagystė gali brangiai kainuoti. Čia yra 10 informacijos, kurią reikia apsaugoti, kad jūsų tapatybė nebūtų pavogta. Skaityti daugiau .
Kai kurios kitos kūrybinės atakos taip pat patenka į „clickjacking“ skėtį. Pvz., Neseniai įvykusiuose išpuoliuose panaudota kenkėjiška programinė įranga, nukreipianti vartotojų paieškas „Bing“, „Google“ ir „Yahoo“ į tinkintus (ir apgaulingus) rezultatų puslapius, kuriuose buvo pilna „Google AdSense“ teikiamų skelbimų. Vartotojai spustelės skelbimus, manydami, kad tai yra teisėti paieškos rezultatai, o užpuolikai gaus užmokestį.
Kai kurie žmonės netgi įtraukia socialinio inžinerijos tipo išpuolius į „clickjacking“; Pavyzdžiui, dar 2009 m. „Twitter“ buvo tviteryje, kuriame sakoma: „Nespustelėk“ ir buvo įtraukta nuoroda. Kiekvieną kartą spustelėjus nuorodą, tas pats dalykas bus nuskaitytas iš jų paskyros. Panašios technikos Penkios „Facebook“ grėsmės, galinčios užkrėsti jūsų kompiuterį, ir kaip jos veikia Skaityti daugiau buvo naudojamos skleisti pinigus kuriančias nuorodas „Facebook“.
„Clickjacking“ nėra vien tik svetainės ir programos, kuriose vartotojai turi pelę; tai taip pat gali nutikti mobiliuosiuose įrenginiuose. Vienas naujausių pavyzdžių yra „Android“. Lockdroidas. E, gabalėlis „Android“ išpirkos programa Kenkėjiška programa „Android“: 5 tipai, kuriuos tikrai reikia žinotiKenkėjiška programa gali paveikti mobiliuosius ir stalinius įrenginius. Nebijokite: šiek tiek žinių ir tinkamos atsargumo priemonės gali apsaugoti jus nuo tokių grėsmių, kaip išpirkos programinė įranga ir sekso priekabiavimo apgaulės. Skaityti daugiau kuris naudojo „clickjacking“ (arba „touchjacking“, jei norite), kad gautumėte tikslinio įrenginio administracines teises. Ir mes neseniai girdėjome apie Prieinamumas „Clickjacking“ pažeidžiamumas „Android“ Kaip „Android“ pritaikymo neįgaliesiems paslaugos gali būti naudojamos jūsų telefonui nulaužti„Android“ pritaikymo neįgaliesiems rinkinyje rasta įvairių saugos spragų. Bet kam ši programinė įranga net naudojama? Skaityti daugiau išmanieji telefonai ir planšetiniai kompiuteriai.
Ką galite padaryti, kad išvengtumėte paspaudimų
Deja, jūs galite padaryti ne viską, kad išvengtumėte paspaudimų, nebent esate svetainės administratorius. Iki šiol dažniausiai naudojamas būdas apsisaugoti naršant yra naudoti „NoScript“, „Firefox“ priedas, neleidžiantis įkelti scenarijų be konkretaus leidimo tu. „NoScript“ turi keletą specialių apsaugos nuo paspaudimų funkcijų ir tikrai gerai nustato scenarijus, sukuriančius skaidrias svetainių perdangas.
Visi panašūs plėtiniai, kuriuos galite naudoti neleisti įkelti scenarijų ar programų Valdykite savo žiniatinklio turinį: būtiniausi stebėjimo ir scenarijų plėtiniaiTiesa yra ta, kad visada yra kažkas ar kažkas, kas stebi jūsų veiklą internete ir jos turinį. Galų gale, kuo mažiau informacijos leisime šioms grupėms, tuo saugesni būsime. Skaityti daugiau taip pat suteiks tam tikrą apsaugą.
Tačiau geriausia apsisaugojimo priemonė nuo paspaudimų paslėpimo turi būti teikiama svetainės administratoriams. Daugelis gynybos būdų yra gana techniniai, ir jei norite sužinoti, kaip tiksliai juos įgyvendinti, rekomenduoju patikrinti „Clickjacking Defense Cheat Sheet“ iš OWASP.
Vienas geriausių būdų, kaip užkirsti kelią paspaudimams savo svetainėje, yra „x-frame-options“ HTTP antraštė, neleidžianti jūsų svetainės turiniui įkelti į rėmelį ( žyma) arba iframe (
Užkirsti kelią scenarijų tarp svetainių sudarymas Kas yra „Cross Scripting“ (XSS) ir kodėl tai yra saugumo grėsmė?Skirtingų svetainių scenarijų pažeidžiamumas yra didžiausia šių dienų svetainių saugos problema. Remiantis naujausia „White Hat Security“ ataskaita, išleista birželio mėn., Tyrimai parodė, kad jos yra šokiruojančios - 55% svetainių 2011 m. Buvo XSS pažeidžiamumas. Skaityti daugiau (XSS) taip pat padės sumažinti paspaudimų atakos svetainėje tikimybę. Kadangi XSS taip pat naudojamas kitoms atakoms, vis dėlto verta apsisaugoti nuo jos.
Jei norite sumažinti paspaudimų atakos tikimybę jūsų mobiliajame įrenginyje, galbūt norėsite apriboti atsisiųsti programas tik iš patikimų šaltinių, pvz., „Apple App Store“ ar „Google Play“ Parduotuvė. Nors tai negarantuoja, kad būsite laisvi nuo atakų, šiose programose yra daug mažiau tikėtinų kenksmingų kodų nei tose, kurias gaunate iš trečiųjų šalių šaltinių.
Taip pat galite vengti naudoti naršykles programoje, nes tai yra dažna vieta, kur vyksta užpuolimai. Nustatykite numatytąją nuorodų atidarymo savo programose elgseną, kad atidarytumėte sistemos naršyklėje, o ne programoje naršyklėje, ir pašalinsite dar vieną galimą gynybos trūkumą.
Tikras pavojus
Kaip minėta anksčiau, paspaudimas paspaudimu atrodo labiau susierzinimas nei reali grėsmė jūsų saugumui, tačiau jei jis bus naudojamas efektyviai, tai gali padėti užpuolikams pavogti labai svarbią informaciją arba gauti prieigą prie jūsų internetinių paskyrų, kur jie galėtų padaryti rimtų veiksmų žala.
Ir nors didžioji dalis gynybos turi būti užkulisiuose, galite naudoti scenarijų blokavimą plėtiniai, kad būtų išvengta daugumos šių atakų - jei jums gerai tinka naudoti tokius priedus, kaip jie yra šiek tiek prieštaringai „AdBlock“, „NoScript“ ir „Ghostery“ - „Blogo triukas“Per pastaruosius kelis mėnesius su manimi susisiekė daugybė skaitytojų, kuriems buvo sunku atsisiųsti mūsų vadovus arba kodėl jie nemato prisijungimo mygtukų ar komentarų, kurie nėra įkeliami; ir į... Skaityti daugiau .
Ar žinote kokių nors plataus masto paspaudimų išpuolių pavyzdžių ar buvote vieno iš šių išpuolių auka? Ar naudojate „NoScript“ ar diegiate kokias nors gynybos priemones savo svetainėje? Pasidalykite savo mintimis žemiau!
Vaizdo kreditas: Mozilla.
„Dann“ yra turinio strategijos ir rinkodaros konsultantas, kuris padeda įmonėms generuoti paklausą ir veda klientus. Jis taip pat rašo tinklaraščius apie strategiją ir turinio rinkodarą dannalbright.com.