عرض خصم التراخيص المتعددة
مشكلة ثغرة DoubleClickjacking

ثغرة DoubleClickjacking

بواسطة Mezo في مشكلة
ترجمة الى:
العربية

كشف محللو التهديدات عن فئة جديدة من الثغرات الأمنية القائمة على التوقيت والتي تستغل تسلسل النقر المزدوج لتمكين هجمات النقر المزدوج والوصول غير المصرح به إلى الحسابات عبر العديد من المواقع المهمة. تقدم هذه التقنية، التي يطلق عليها DoubleClickjacking، نهجًا جديدًا للتلاعب بواجهة المستخدم يتجاوز تدابير الأمان الحالية.

نهج جديد لاستغلال النقرات

على عكس أساليب النقر التقليدية التي تعتمد على نقرة واحدة للمستخدم، فإن DoubleClickjacking يستفيد من التأخير القصير بين نقرتين متتاليتين. ورغم أن هذا قد يبدو تحولاً بسيطًا، إلا أنه يتجاوز بشكل فعال الحماية مثل رأس X-Frame-Options وإعدادات ملفات تعريف الارتباط SameSite: Lax/Strict.

إن عملية Clickjacking، المعروفة أيضًا باسم تصحيح واجهة المستخدم، تخدع المستخدمين وتجعلهم يتفاعلون مع عناصر يعتبرونها غير ضارة - مثل الأزرار - فقط لإثارة إجراءات غير مقصودة، بما في ذلك تسريب البيانات أو خروقات الأمان. تعمل عملية DoubleClickjacking على تحسين هذا المفهوم من خلال استغلال الفاصل الزمني بين النقرات، مما يسمح للمهاجمين بتجاوز عناصر التحكم الأمنية واختطاف الحسابات مع الحد الأدنى من تدخل المستخدم.

كيف يعمل الهجوم

تتم هذه التقنية بالتسلسل التالي:

  • يقوم المستخدم بزيارة موقع ويب احتيالي يفتح علامة تبويب جديدة للمتصفح تلقائيًا أو يطالب المستخدم بالقيام بذلك.
  • هذه النافذة الجديدة، والتي قد تظهر كتحقق روتيني من CAPTCHA، تطلب من المستخدم النقر نقرًا مزدوجًا.
  • عندما يحدث النقر المزدوج، يقوم الموقع الأصلي بإعادة التوجيه خلسة إلى صفحة ضارة، مثل طلب تفويض OAuth.
  • في الوقت نفسه، يتم إغلاق النافذة المنبثقة، مما يؤدي إلى موافقة المستخدم على طلب إذن بالغ الأهمية على الموقع الأصلي دون علمه.

نظرًا لأن معظم وسائل الدفاع عن أمان الويب مصممة للتصدي للنقرات القسرية الفردية فقط، فإن هذه الطريقة تتجاوز بشكل فعال الضمانات التقليدية. لا يمكن لتدابير مثل X-Frame-Options وملفات تعريف الارتباط SameSite وسياسة أمان المحتوى (CSP) التخفيف من هذا التهديد.

التدابير الوقائية والحلول طويلة الأمد

ولمعالجة هذه المشكلة، يستطيع مطورو مواقع الويب تنفيذ تدابير حماية من جانب العميل تعمل على تعطيل أزرار الإجراءات الأساسية ما لم يتم اكتشاف حركة الماوس أو الضغط على المفاتيح من قبل المستخدم. وتستخدم بعض المنصات، بما في ذلك Dropbox، بالفعل مثل هذه الآليات الدفاعية لمنع التفاعلات غير المصرح بها.

كحل طويل الأمد، يوصي خبراء الأمن بأن يقوم بائعو المتصفحات بإنشاء معايير جديدة مشابهة لـ X-Frame-Options للتخفيف من حدة هجمات النقر المزدوج بشكل فعال.

تطور جديد في مجال Clickjacking

DoubleClickjacking هو تطور لتقنيات clickjacking الموثقة جيدًا، والتي تستغل فجوات التوقيت الدقيقة بين تصرفات المستخدم لمبادلة عناصر واجهة المستخدم المشروعة بعناصر خادعة في لحظة.

يأتي هذا الكشف في أعقاب كشف سابق عن تزوير النوافذ المتقاطعة (الاختطاف بالإيماءات)، وهو شكل آخر من أشكال الاختطاف بالنقرات. تقنع هذه التقنية المستخدمين بالضغط على مفاتيح مثل Enter أو Space أو الاستمرار فيها على موقع مخترق، مما يؤدي إلى بدء إجراءات غير مقصودة.

على منصات مثل Coinbase وYahoo!، يمكن للمهاجمين الاستفادة من اختراق الإيماءات لاختراق الحسابات. إذا قام مستخدم مسجل الدخول بزيارة موقع ويب غير آمن وضغط على Enter أو Space، فقد يقوم دون علمه بتفويض تطبيق OAuth خبيث. هذا ممكن لأن المنصتين تسمحان لتطبيقات OAuth بطلب وصول واسع النطاق وتعيين معرفات ثابتة يمكن التنبؤ بها لأزرار التفويض، مما يجعلها عرضة للاستغلال.

مع استمرار تطور أساليب القرصنة، يتعين على فرق الأمن اعتماد دفاعات استباقية لحماية تفاعلات المستخدم من التهديدات المتطورة بشكل متزايد.

جار التحميل...