बहु-लाइसेन्स छूट उद्धरण
मुद्दा DoubleClickjacking शोषण

DoubleClickjacking शोषण

मुद्दा मा Mezo सम्म
यसमा अनुवाद गर्नुहोस्:
नेपाली

थ्रेट विश्लेषकहरूले समय-आधारित कमजोरीहरूको नयाँ पहिचान गरिएको वर्ग पत्ता लगाएका छन् जसले क्लिकज्याकिंग आक्रमणहरू र धेरै महत्त्वपूर्ण वेबसाइटहरूमा अनाधिकृत खाता पहुँच सक्षम गर्न डबल-क्लिक अनुक्रम शोषण गर्दछ। DoubleClickjacking डब गरिएको यो प्रविधिले UI हेरफेरको लागि एउटा नयाँ दृष्टिकोण प्रस्तुत गर्दछ जसले अवस्थित सुरक्षा उपायहरूलाई बेवास्ता गर्दछ।

Clickjacking को लागी एक नयाँ दृष्टिकोण

एकल प्रयोगकर्ता क्लिकमा भर पर्ने परम्परागत क्लिकज्याकिंग विधिहरूको विपरीत, डबलक्लिक ज्याकिङले लगातार दुई क्लिकहरू बीचको छोटो ढिलाइको लाभ उठाउँछ। यद्यपि यो सानो परिवर्तन जस्तो लाग्न सक्छ, यसले X-Frame-Options हेडर र SameSite: Lax/Strict कुकी सेटिङहरू जस्ता सुरक्षाहरूलाई प्रभावकारी रूपमा बाइपास गर्छ।

क्लिकज्याकिङ, जसलाई UI रिड्रेसिङ पनि भनिन्छ, प्रयोगकर्ताहरूलाई उनीहरूले हानिरहित ठानेका तत्वहरूसँग अन्तर्क्रिया गर्न धोका दिन्छ—जस्तै बटनहरू—केवल डाटा निष्कासन वा सुरक्षा उल्लङ्घनहरू लगायतका अनावश्यक कार्यहरू ट्रिगर गर्न। DoubleClickjacking ले यस अवधारणालाई क्लिकहरू बीचको अन्तरालको शोषण गरेर, आक्रमणकारीहरूलाई सुरक्षा नियन्त्रणहरू ओभरराइड गर्न र न्यूनतम प्रयोगकर्ता संलग्नताका साथ खाताहरू अपहरण गर्न अनुमति दिएर परिष्कृत गर्दछ।

आक्रमण कसरी काम गर्दछ

प्रविधि निम्न क्रम मा प्रकट हुन्छ:

  • प्रयोगकर्ताले धोखाधडी वेबसाइटमा जान्छ जसले कि त नयाँ ब्राउजर ट्याब स्वतः खोल्छ वा तिनीहरूलाई त्यसो गर्न संकेत गर्दछ।
  • यो नयाँ विन्डो, जुन नियमित क्याप्चा प्रमाणिकरणको रूपमा देखा पर्न सक्छ, प्रयोगकर्तालाई डबल-क्लिक गर्न निर्देशन दिन्छ।
  • डबल-क्लिक हुने बित्तिकै, मूल साइटले चुपचाप दुर्भावनापूर्ण पृष्ठमा पुन: निर्देशित गर्दछ — जस्तै OAuth प्राधिकरण अनुरोध।
  • एकै साथ, पप-अप विन्डो बन्द हुन्छ, जसले प्रयोगकर्तालाई अनजानमा मूल साइटमा महत्वपूर्ण अनुमति अनुरोध अनुमोदन गर्न नेतृत्व गर्दछ।

धेरै जसो वेब सुरक्षा प्रतिरक्षाहरू केवल एकल जबरजस्ती क्लिकहरूको प्रतिरोध गर्न डिजाइन गरिएको हुनाले, यो विधिले प्रभावकारी रूपमा परम्परागत सुरक्षाहरू बाइपास गर्दछ। X-Frame-Options, SameSite कुकीहरू, र सामग्री सुरक्षा नीति (CSP) जस्ता उपायहरूले यो खतरालाई कम गर्न सक्दैन।

रोकथामका उपाय र दीर्घकालीन समाधानहरू

यस मुद्दालाई सम्बोधन गर्न, वेबसाइट विकासकर्ताहरूले क्लाइन्ट-साइड सुरक्षाहरू लागू गर्न सक्छन् जसले आवश्यक कार्य बटनहरूलाई असक्षम पार्छ जबसम्म प्रयोगकर्ता-प्रारम्भ गरिएको माउस चाल वा कुञ्जी थिचेको पत्ता लाग्दैन। ड्रपबक्स सहित केही प्लेटफर्महरूले पहिले नै अनधिकृत अन्तरक्रियाहरू रोक्नको लागि त्यस्ता रक्षात्मक संयन्त्रहरू प्रयोग गर्छन्।

दीर्घकालीन समाधानको रूपमा, सुरक्षा विशेषज्ञहरूले ब्राउजर विक्रेताहरूले डबल-क्लिक-आधारित आक्रमणहरूलाई प्रभावकारी रूपमा कम गर्न X-Frame-Options जस्तै नयाँ मापदण्डहरू स्थापना गर्न सिफारिस गर्छन्।

Clickjacking मा नयाँ ट्विस्ट

DoubleClickjacking राम्रोसँग दस्तावेज गरिएको क्लिकज्याकिङ प्रविधिको विकास हो, प्रयोगकर्ताका कार्यहरू बीचको सूक्ष्म समयको अन्तरलाई एकैछिनमा भ्रामक व्यक्तिहरूसँग वैध UI तत्वहरू स्वैप गर्नको लागि।

यो खुलासाले क्रस-विन्डो जालसाजी (जेस्चर-ज्याकिंग), अर्को क्लिकज्याकिंग संस्करणको अघिल्लो खुलासालाई पछ्याउँछ। त्यो प्रविधिले प्रयोगकर्ताहरूलाई सम्झौता गरिएको साइटमा इन्टर वा स्पेस जस्ता कुञ्जीहरू थिच्न वा होल्ड गर्न मनाउँछ, अनिच्छित कार्यहरू सुरु गर्छ।

Coinbase र Yahoo! जस्ता प्लेटफर्महरूमा, आक्रमणकारीहरूले खाताहरू अपहरण गर्न इशारा-ज्याकिङको फाइदा लिन सक्छन्। यदि लग-इन गरिएको प्रयोगकर्ताले असुरक्षित वेबसाइटमा गएर इन्टर वा स्पेस थिच्यो भने, तिनीहरूले अनजानमा एक बदमाश OAuth अनुप्रयोगलाई अधिकृत गर्न सक्छन्। यो सम्भव छ किनभने दुबै प्लेटफर्महरूले OAuth अनुप्रयोगहरूलाई फराकिलो पहुँच अनुरोध गर्न र प्राधिकरण बटनहरूमा अनुमानित, स्थिर पहिचानकर्ताहरू असाइन गर्न अनुमति दिन्छ, जसले तिनीहरूलाई शोषणको लागि संवेदनशील बनाउँछ।

क्लिकज्याकिंग विधिहरू विकसित भइरहँदा, सुरक्षा टोलीहरूले प्रयोगकर्ताको अन्तरक्रियालाई बढ्दो परिष्कृत खतराहरूबाट जोगाउन सक्रिय प्रतिरक्षाहरू अपनाउनुपर्छ।

लोड गर्दै...