قیمت چند مجوز تخفیف
موضوع DoubleClickjacking Exploit

DoubleClickjacking Exploit

تا Mezo در موضوع
ترجمه به:
فارسی

تحلیلگران تهدید دسته جدیدی از آسیب‌پذیری‌های مبتنی بر زمان‌بندی را کشف کرده‌اند که از یک توالی دوبار کلیک برای فعال کردن حملات کلیک‌جک و دسترسی غیرمجاز به حساب در بسیاری از وب‌سایت‌های مهم استفاده می‌کنند. این تکنیک که DoubleClickjacking نام دارد، رویکرد جدیدی را برای دستکاری UI معرفی می کند که اقدامات امنیتی موجود را دور می زند.

رویکردی جدید برای کلیک جک

برخلاف روش‌های سنتی کلیک‌جک که به یک کلیک کاربر تکیه می‌کنند، DoubleClickjacking از تأخیر کوتاه بین دو کلیک متوالی استفاده می‌کند. اگرچه ممکن است این یک تغییر جزئی به نظر برسد، اما به طور موثر محافظت هایی مانند هدر X-Frame-Options و تنظیمات کوکی SameSite: Lax/Strict را دور می زند.

کلیک جک که به عنوان اصلاح رابط کاربری نیز شناخته می‌شود، کاربران را فریب می‌دهد تا با عناصری که آن‌ها را بی‌ضرر می‌دانند – مانند دکمه‌ها – فقط برای انجام اقدامات ناخواسته، از جمله استخراج داده‌ها یا نقض‌های امنیتی، تعامل داشته باشند. DoubleClickjacking با بهره‌برداری از فاصله بین کلیک‌ها، این مفهوم را اصلاح می‌کند و به مهاجمان اجازه می‌دهد کنترل‌های امنیتی را نادیده بگیرند و حساب‌ها را با حداقل دخالت کاربر ربودند.

حمله چگونه کار می کند

این تکنیک به ترتیب زیر آشکار می شود:

  • کاربر از یک وب سایت جعلی بازدید می کند که یا یک برگه مرورگر جدید را به طور خودکار باز می کند یا از آنها می خواهد که این کار را انجام دهند.
  • این پنجره جدید، که ممکن است به عنوان یک تأیید معمول CAPTCHA ظاهر شود، به کاربر دستور می دهد که دوبار کلیک کند.
  • با دوبار کلیک کردن، سایت اصلی مخفیانه به یک صفحه مخرب هدایت می شود - مانند درخواست مجوز OAuth.
  • به طور همزمان، پنجره پاپ آپ بسته می شود و کاربر را مجبور می کند تا یک درخواست مجوز حیاتی در سایت اصلی را ناآگاهانه تأیید کند.

از آنجایی که بیشتر سیستم‌های دفاعی امنیتی وب برای مقابله با تنها کلیک‌های اجباری طراحی شده‌اند، این روش به طور موثر از پادمان‌های متداول دور می‌زند. اقداماتی مانند X-Frame-Options، کوکی‌های SameSite و خط‌مشی امنیت محتوا (CSP) نمی‌توانند این تهدید را کاهش دهند.

اقدامات پیشگیرانه و راه حل های بلند مدت

برای رفع این مشکل، توسعه‌دهندگان وب‌سایت می‌توانند حفاظت‌های سمت کلاینت را اجرا کنند که دکمه‌های عمل ضروری را غیرفعال می‌کنند، مگر اینکه حرکت ماوس یا فشار کلید توسط کاربر شناسایی شود. برخی از پلتفرم ها، از جمله دراپ باکس، قبلاً از چنین مکانیسم های دفاعی برای جلوگیری از تعاملات غیرمجاز استفاده می کنند.

به عنوان یک راه حل بلند مدت، کارشناسان امنیتی توصیه می کنند که فروشندگان مرورگر استانداردهای جدیدی مشابه X-Frame-Options ایجاد کنند تا حملات مبتنی بر دوبار کلیک را به طور موثر کاهش دهند.

پیچ و تاب جدید در Clickjacking

DoubleClickjacking تکاملی از تکنیک های کلیک جک مستند است که از شکاف های زمانی ظریف بین اقدامات کاربر برای تعویض عناصر UI قانونی با عناصر فریبنده در یک لحظه استفاده می کند.

این افشا به دنبال افشای قبلی جعل بین پنجره‌ای (جک حرکتی)، یکی دیگر از انواع کلیک‌جکینگ است. این تکنیک کاربران را متقاعد می کند تا کلیدهایی مانند Enter یا Space را در یک سایت در معرض خطر فشار داده یا نگه دارند و اقدامات ناخواسته را آغاز کنند.

در پلتفرم هایی مانند کوین بیس و یاهو، مهاجمان می توانند از جک حرکتی برای ربودن حساب ها استفاده کنند. اگر کاربر وارد شده از یک وب سایت ناامن بازدید کند و Enter یا Space را فشار دهد، می تواند ناخودآگاه یک برنامه OAuth سرکش را مجوز دهد. این امکان پذیر است زیرا هر دو پلتفرم به برنامه‌های OAuth اجازه می‌دهند تا دسترسی گسترده را درخواست کنند و شناسه‌های ثابت و قابل پیش‌بینی را به دکمه‌های مجوز اختصاص دهند، و آنها را مستعد سوءاستفاده قرار دهند.

از آنجایی که روش‌های کلیک جک به تکامل خود ادامه می‌دهند، تیم‌های امنیتی باید از دفاع‌های پیشگیرانه برای محافظت از تعاملات کاربر در برابر تهدیدهای پیچیده‌تر استفاده کنند.

بارگذاری...