DoubleClickjacking Exploit

ក្រុមអ្នកវិភាគការគំរាមកំហែងបានរកឃើញនូវចំណាត់ថ្នាក់ដែលត្រូវបានកំណត់អត្តសញ្ញាណថ្មីនៃភាពងាយរងគ្រោះផ្អែកលើពេលវេលាដែលទាញយកការចុចពីរដងដើម្បីបើកការវាយប្រហារដោយ clickjacking និងការចូលប្រើគណនីដែលគ្មានការអនុញ្ញាតនៅទូទាំងគេហទំព័រសំខាន់ៗជាច្រើន។ បច្ចេកទេសនេះត្រូវបានគេហៅថា DoubleClickjacking ណែនាំវិធីសាស្រ្តប្រលោមលោកចំពោះការរៀបចំ UI ដែលជៀសផុតពីវិធានការសុវត្ថិភាពដែលមានស្រាប់។

វិធីសាស្រ្តថ្មីដើម្បី Clickjacking

មិនដូចវិធីសាស្ត្រ clickjacking បែបប្រពៃណីដែលពឹងផ្អែកលើការចុចរបស់អ្នកប្រើតែមួយ DoubleClickjacking បង្កើនការពន្យាពេលខ្លីរវាងការចុចពីរជាប់គ្នា។ ខណៈពេលដែលវាហាក់ដូចជាការផ្លាស់ប្តូរតិចតួច វាមានប្រសិទ្ធភាពឆ្លងកាត់ការការពារដូចជា X-Frame-Options header និង SameSite: Lax/Strict cookie settings។

Clickjacking ដែលត្រូវបានគេស្គាល់ផងដែរថាជា UI redressing បញ្ឆោតអ្នកប្រើប្រាស់ឱ្យធ្វើអន្តរកម្មជាមួយធាតុដែលពួកគេយល់ថាគ្មានការបង្កគ្រោះថ្នាក់ ដូចជាប៊ូតុង តែប៉ុណ្ណោះ ដើម្បីបង្កសកម្មភាពដោយអចេតនា រួមទាំងការទាញយកទិន្នន័យ ឬការរំលោភលើសុវត្ថិភាព។ DoubleClickjacking កែលម្អគោលគំនិតនេះដោយទាញយកចន្លោះពេលរវាងការចុច ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារបដិសេធការគ្រប់គ្រងសុវត្ថិភាព និងលួចគណនីដោយមានការចូលរួមពីអ្នកប្រើប្រាស់តិចតួចបំផុត។

របៀបដែលការវាយប្រហារដំណើរការ

បច្ចេកទេសត្រូវបានលាតត្រដាងតាមលំដាប់ដូចខាងក្រោមៈ

• អ្នកប្រើប្រាស់ចូលទៅកាន់គេហទំព័រក្លែងបន្លំ ដែលបើកផ្ទាំងកម្មវិធីរុករកថ្មីដោយស្វ័យប្រវត្តិ ឬជំរុញឱ្យពួកគេធ្វើដូច្នេះ។
• បង្អួចថ្មីនេះ ដែលអាចលេចឡើងជាការផ្ទៀងផ្ទាត់ CAPTCHA ជាប្រចាំ ណែនាំអ្នកប្រើប្រាស់ឱ្យចុចពីរដង។
• នៅពេលដែលការចុចពីរដងកើតឡើង គេហទំព័រដើមលួចបញ្ជូនបន្តទៅកាន់ទំព័រដែលមានគំនិតអាក្រក់ ដូចជាសំណើសុំការអនុញ្ញាត OAuth ជាដើម។
• ក្នុងពេលដំណាលគ្នា បង្អួចលេចឡើងបិទ ដែលនាំឱ្យអ្នកប្រើប្រាស់យល់ព្រមលើសំណើសុំការអនុញ្ញាតដ៏សំខាន់នៅលើគេហទំព័រដើមដោយមិនដឹងខ្លួន។

ដោយសារការការពារសុវត្ថិភាពគេហទំព័រភាគច្រើនត្រូវបានរចនាឡើងដើម្បីប្រឆាំងនឹងការចុចដោយបង្ខំតែមួយដង វិធីសាស្ត្រនេះមានប្រសិទ្ធភាពជៀសផុតពីការការពារធម្មតា។ វិធានការដូចជា X-Frame-Options, SameSite cookies, និង Content Security Policy (CSP) មិនអាចកាត់បន្ថយការគំរាមកំហែងនេះបានទេ។

វិធានការបង្ការ និងដំណោះស្រាយរយៈពេលវែង

ដើម្បីដោះស្រាយបញ្ហានេះ អ្នកអភិវឌ្ឍន៍គេហទំព័រអាចអនុវត្តការការពារផ្នែកខាងអតិថិជន ដែលបិទប៊ូតុងសកម្មភាពសំខាន់ៗ លុះត្រាតែរកឃើញចលនាកណ្ដុរ ឬចុចគ្រាប់ចុចដែលផ្តួចផ្តើមដោយអ្នកប្រើប្រាស់។ វេទិកាមួយចំនួន រួមទាំង Dropbox ប្រើយន្តការការពារបែបនេះរួចហើយ ដើម្បីការពារអន្តរកម្មដែលគ្មានការអនុញ្ញាត។

ជាដំណោះស្រាយរយៈពេលវែង អ្នកជំនាញផ្នែកសុវត្ថិភាពបានផ្តល់អនុសាសន៍ថា អ្នកលក់កម្មវិធីរុករកតាមអ៊ីនធឺណិតបង្កើតស្តង់ដារថ្មីស្រដៀងទៅនឹង X-Frame-Options ដើម្បីកាត់បន្ថយការវាយប្រហារដោយចុចពីរដងប្រកបដោយប្រសិទ្ធភាព។

ការកែប្រែថ្មីនៅលើ Clickjacking

DoubleClickjacking គឺជាការវិវត្តនៃបច្ចេកទេស clickjacking ដែលបានចងក្រងយ៉ាងល្អ ដោយទាញយកចន្លោះពេលតិចតួចរវាងសកម្មភាពរបស់អ្នកប្រើប្រាស់ ដើម្បីផ្លាស់ប្តូរធាតុ UI ស្របច្បាប់ជាមួយនឹងអ្វីដែលបញ្ឆោតភ្លាមៗ។

ការលាតត្រដាងនេះធ្វើតាមការបើកបង្ហាញមុននៃការក្លែងបន្លំឆ្លងបង្អួច (កាយវិការ Jacking) វ៉ារ្យ៉ង់ការចុច Jack ផ្សេងទៀត។ បច្ចេកទេសនោះបញ្ចុះបញ្ចូលអ្នកប្រើប្រាស់ឱ្យចុច ឬសង្កត់គ្រាប់ចុចដូចជា Enter ឬ Space នៅលើគេហទំព័រដែលត្រូវបានសម្របសម្រួលដោយចាប់ផ្តើមសកម្មភាពដែលមិនមានបំណង។

នៅលើវេទិកាដូចជា Coinbase និង Yahoo! អ្នកវាយប្រហារអាចប្រើកាយវិការ Jack ដើម្បីប្លន់គណនី។ ប្រសិនបើអ្នកប្រើដែលបានចូលចូលទៅកាន់គេហទំព័រដែលមិនមានសុវត្ថិភាព ហើយចុច Enter ឬ Space នោះពួកគេអាចអនុញ្ញាតិកម្មវិធី OAuth ដ៏អាក្រក់ដោយមិនដឹងខ្លួន។ នេះអាចទៅរួច ដោយសារវេទិកាទាំងពីរអនុញ្ញាតឱ្យកម្មវិធី OAuth ស្នើសុំការចូលប្រើប្រាស់ទូលំទូលាយ និងផ្តល់ការកំណត់អត្តសញ្ញាណឋិតិវន្តដែលអាចទស្សន៍ទាយបានដល់ប៊ូតុងអនុញ្ញាត ដែលធ្វើឲ្យពួកវាងាយនឹងកេងប្រវ័ញ្ច។

នៅពេលដែលវិធីសាស្ត្រ clickjacking បន្តវិវឌ្ឍ ក្រុមសន្តិសុខត្រូវតែទទួលយកការការពារសកម្មដើម្បីការពារអន្តរកម្មអ្នកប្រើប្រាស់ពីការគំរាមកំហែងដែលកាន់តែស្មុគស្មាញ។