DoubleClickjacking ਸ਼ੋਸ਼ਣ
ਖ਼ਤਰੇ ਦੇ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ ਸਮੇਂ-ਆਧਾਰਿਤ ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਇੱਕ ਨਵੀਂ ਪਛਾਣੀ ਗਈ ਸ਼੍ਰੇਣੀ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ ਜੋ ਕਈ ਮਹੱਤਵਪੂਰਨ ਵੈਬਸਾਈਟਾਂ ਵਿੱਚ ਕਲਿੱਕਜੈਕਿੰਗ ਹਮਲਿਆਂ ਅਤੇ ਅਣਅਧਿਕਾਰਤ ਖਾਤੇ ਦੀ ਪਹੁੰਚ ਨੂੰ ਸਮਰੱਥ ਕਰਨ ਲਈ ਇੱਕ ਡਬਲ-ਕਲਿੱਕ ਕ੍ਰਮ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦਾ ਹੈ। ਇਹ ਤਕਨੀਕ, ਜਿਸਨੂੰ DoubleClickjacking ਕਿਹਾ ਜਾਂਦਾ ਹੈ, UI ਹੇਰਾਫੇਰੀ ਲਈ ਇੱਕ ਨਵੀਂ ਪਹੁੰਚ ਪੇਸ਼ ਕਰਦੀ ਹੈ ਜੋ ਮੌਜੂਦਾ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਨੂੰ ਰੋਕਦੀ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਕਲਿਕਜੈਕਿੰਗ ਲਈ ਇੱਕ ਨਵੀਂ ਪਹੁੰਚ
ਪਰੰਪਰਾਗਤ ਕਲਿਕਜੈਕਿੰਗ ਵਿਧੀਆਂ ਦੇ ਉਲਟ ਜੋ ਇੱਕ ਸਿੰਗਲ ਯੂਜ਼ਰ ਕਲਿੱਕ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ, ਡਬਲ-ਕਲਿੱਕਜੈਕਿੰਗ ਲਗਾਤਾਰ ਦੋ ਕਲਿੱਕਾਂ ਵਿਚਕਾਰ ਥੋੜ੍ਹੀ ਦੇਰੀ ਦਾ ਲਾਭ ਉਠਾਉਂਦੀ ਹੈ। ਹਾਲਾਂਕਿ ਇਹ ਇੱਕ ਮਾਮੂਲੀ ਤਬਦੀਲੀ ਵਾਂਗ ਜਾਪਦਾ ਹੈ, ਪਰ ਇਹ X-Frame-Options ਹੈਡਰ ਅਤੇ SameSite: Lax/Strict ਕੂਕੀ ਸੈਟਿੰਗਾਂ ਵਰਗੀਆਂ ਸੁਰੱਖਿਆਵਾਂ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਬਾਈਪਾਸ ਕਰਦਾ ਹੈ।
ਕਲਿਕਜੈਕਿੰਗ, ਜਿਸਨੂੰ UI ਨਿਵਾਰਣ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਉਹਨਾਂ ਤੱਤਾਂ ਨਾਲ ਗੱਲਬਾਤ ਕਰਨ ਲਈ ਧੋਖਾ ਦਿੰਦਾ ਹੈ ਜੋ ਉਹਨਾਂ ਨੂੰ ਨੁਕਸਾਨਦੇਹ ਸਮਝਦੇ ਹਨ — ਜਿਵੇਂ ਕਿ ਬਟਨ — ਸਿਰਫ਼ ਅਣਇੱਛਤ ਕਾਰਵਾਈਆਂ ਨੂੰ ਚਾਲੂ ਕਰਨ ਲਈ, ਜਿਸ ਵਿੱਚ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਜਾਂ ਸੁਰੱਖਿਆ ਉਲੰਘਣਾਵਾਂ ਸ਼ਾਮਲ ਹਨ। DoubleClickjacking ਇਸ ਸੰਕਲਪ ਨੂੰ ਕਲਿੱਕਾਂ ਦੇ ਵਿਚਕਾਰ ਅੰਤਰਾਲ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਕੇ, ਹਮਲਾਵਰਾਂ ਨੂੰ ਸੁਰੱਖਿਆ ਨਿਯੰਤਰਣਾਂ ਨੂੰ ਓਵਰਰਾਈਡ ਕਰਨ ਅਤੇ ਉਪਭੋਗਤਾਵਾਂ ਦੀ ਘੱਟੋ-ਘੱਟ ਸ਼ਮੂਲੀਅਤ ਦੇ ਨਾਲ ਖਾਤਿਆਂ ਨੂੰ ਹਾਈਜੈਕ ਕਰਨ ਦੀ ਆਗਿਆ ਦੇ ਕੇ ਸੁਧਾਰਦਾ ਹੈ।
ਹਮਲਾ ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ
ਤਕਨੀਕ ਹੇਠ ਲਿਖੇ ਕ੍ਰਮ ਵਿੱਚ ਪ੍ਰਗਟ ਹੁੰਦੀ ਹੈ:
- ਇੱਕ ਉਪਭੋਗਤਾ ਇੱਕ ਧੋਖਾਧੜੀ ਵਾਲੀ ਵੈਬਸਾਈਟ 'ਤੇ ਜਾਂਦਾ ਹੈ ਜੋ ਜਾਂ ਤਾਂ ਇੱਕ ਨਵਾਂ ਬ੍ਰਾਊਜ਼ਰ ਟੈਬ ਆਪਣੇ ਆਪ ਖੋਲ੍ਹਦਾ ਹੈ ਜਾਂ ਉਹਨਾਂ ਨੂੰ ਅਜਿਹਾ ਕਰਨ ਲਈ ਪੁੱਛਦਾ ਹੈ।
- ਇਹ ਨਵੀਂ ਵਿੰਡੋ, ਜੋ ਕਿ ਇੱਕ ਰੁਟੀਨ ਕੈਪਟਚਾ ਤਸਦੀਕ ਵਜੋਂ ਦਿਖਾਈ ਦੇ ਸਕਦੀ ਹੈ, ਉਪਭੋਗਤਾ ਨੂੰ ਡਬਲ-ਕਲਿੱਕ ਕਰਨ ਲਈ ਨਿਰਦੇਸ਼ ਦਿੰਦੀ ਹੈ।
- ਜਿਵੇਂ ਹੀ ਡਬਲ-ਕਲਿੱਕ ਹੁੰਦਾ ਹੈ, ਅਸਲ ਸਾਈਟ ਚੋਰੀ-ਛਿਪੇ ਕਿਸੇ ਖਤਰਨਾਕ ਪੰਨੇ 'ਤੇ ਰੀਡਾਇਰੈਕਟ ਕਰਦੀ ਹੈ-ਜਿਵੇਂ ਕਿ OAuth ਪ੍ਰਮਾਣੀਕਰਨ ਬੇਨਤੀ।
- ਇਸ ਦੇ ਨਾਲ ਹੀ, ਪੌਪ-ਅੱਪ ਵਿੰਡੋ ਬੰਦ ਹੋ ਜਾਂਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਉਪਭੋਗਤਾ ਅਣਜਾਣੇ ਵਿੱਚ ਮੂਲ ਸਾਈਟ 'ਤੇ ਇੱਕ ਮਹੱਤਵਪੂਰਣ ਅਨੁਮਤੀ ਬੇਨਤੀ ਨੂੰ ਮਨਜ਼ੂਰੀ ਦਿੰਦਾ ਹੈ।
ਕਿਉਂਕਿ ਜ਼ਿਆਦਾਤਰ ਵੈੱਬ ਸੁਰੱਖਿਆ ਬਚਾਅ ਸਿਰਫ ਇੱਕ ਜਬਰੀ ਕਲਿੱਕਾਂ ਦਾ ਮੁਕਾਬਲਾ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਹਨ, ਇਹ ਵਿਧੀ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਰਵਾਇਤੀ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਦੀ ਹੈ। X-Frame-Options, SameSite ਕੂਕੀਜ਼, ਅਤੇ ਸਮੱਗਰੀ ਸੁਰੱਖਿਆ ਨੀਤੀ (CSP) ਵਰਗੇ ਉਪਾਅ ਇਸ ਖਤਰੇ ਨੂੰ ਘੱਟ ਨਹੀਂ ਕਰ ਸਕਦੇ।
ਰੋਕਥਾਮ ਵਾਲੇ ਉਪਾਅ ਅਤੇ ਲੰਬੇ ਸਮੇਂ ਦੇ ਹੱਲ
ਇਸ ਮੁੱਦੇ ਨੂੰ ਹੱਲ ਕਰਨ ਲਈ, ਵੈੱਬਸਾਈਟ ਡਿਵੈਲਪਰ ਕਲਾਇੰਟ-ਸਾਈਡ ਸੁਰੱਖਿਆ ਨੂੰ ਲਾਗੂ ਕਰ ਸਕਦੇ ਹਨ ਜੋ ਜ਼ਰੂਰੀ ਐਕਸ਼ਨ ਬਟਨਾਂ ਨੂੰ ਅਸਮਰੱਥ ਬਣਾਉਂਦੇ ਹਨ ਜਦੋਂ ਤੱਕ ਉਪਭੋਗਤਾ ਦੁਆਰਾ ਸ਼ੁਰੂ ਕੀਤੀ ਮਾਊਸ ਦੀ ਗਤੀ ਜਾਂ ਕੀਪ੍ਰੈਸ ਦਾ ਪਤਾ ਨਹੀਂ ਲੱਗ ਜਾਂਦਾ। ਡ੍ਰੌਪਬਾਕਸ ਸਮੇਤ ਕੁਝ ਪਲੇਟਫਾਰਮ ਪਹਿਲਾਂ ਹੀ ਅਣਅਧਿਕਾਰਤ ਪਰਸਪਰ ਕ੍ਰਿਆਵਾਂ ਨੂੰ ਰੋਕਣ ਲਈ ਅਜਿਹੀਆਂ ਰੱਖਿਆਤਮਕ ਵਿਧੀਆਂ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦੇ ਹਨ।
ਲੰਬੇ ਸਮੇਂ ਦੇ ਹੱਲ ਵਜੋਂ, ਸੁਰੱਖਿਆ ਮਾਹਰ ਸਿਫਾਰਸ਼ ਕਰਦੇ ਹਨ ਕਿ ਬ੍ਰਾਊਜ਼ਰ ਵਿਕਰੇਤਾ ਡਬਲ-ਕਲਿੱਕ-ਅਧਾਰਿਤ ਹਮਲਿਆਂ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਘਟਾਉਣ ਲਈ X-Frame-Options ਦੇ ਸਮਾਨ ਨਵੇਂ ਮਿਆਰ ਸਥਾਪਤ ਕਰਨ।
ਕਲਿਕਜੈਕਿੰਗ 'ਤੇ ਇੱਕ ਨਵਾਂ ਮੋੜ
DoubleClickjacking ਚੰਗੀ ਤਰ੍ਹਾਂ ਦਸਤਾਵੇਜ਼ੀ ਕਲਿਕਜੈਕਿੰਗ ਤਕਨੀਕਾਂ ਦਾ ਇੱਕ ਵਿਕਾਸ ਹੈ, ਇੱਕ ਮੁਹਤ ਵਿੱਚ ਧੋਖੇਬਾਜ਼ਾਂ ਨਾਲ ਜਾਇਜ਼ UI ਤੱਤਾਂ ਨੂੰ ਸਵੈਪ ਕਰਨ ਲਈ ਉਪਭੋਗਤਾ ਦੀਆਂ ਕਾਰਵਾਈਆਂ ਵਿਚਕਾਰ ਸੂਖਮ ਸਮੇਂ ਦੇ ਅੰਤਰ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦਾ ਹੈ।
ਇਹ ਖੁਲਾਸਾ ਕਰਾਸ-ਵਿੰਡੋ ਜਾਅਲਸਾਜ਼ੀ (ਇਸ਼ਾਰੇ-ਜੈਕਿੰਗ), ਇੱਕ ਹੋਰ ਕਲਿੱਕਜੈਕਿੰਗ ਰੂਪ ਦੇ ਇੱਕ ਪੁਰਾਣੇ ਖੁਲਾਸੇ ਤੋਂ ਬਾਅਦ ਹੈ। ਇਹ ਤਕਨੀਕ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਸਮਝੌਤਾ ਵਾਲੀ ਸਾਈਟ 'ਤੇ ਐਂਟਰ ਜਾਂ ਸਪੇਸ ਵਰਗੀਆਂ ਕੁੰਜੀਆਂ ਨੂੰ ਦਬਾਉਣ ਜਾਂ ਰੱਖਣ ਲਈ ਪ੍ਰੇਰਿਤ ਕਰਦੀ ਹੈ, ਅਣਇੱਛਤ ਕਾਰਵਾਈਆਂ ਸ਼ੁਰੂ ਕਰਦੇ ਹੋਏ।
Coinbase ਅਤੇ Yahoo! ਵਰਗੇ ਪਲੇਟਫਾਰਮਾਂ 'ਤੇ, ਹਮਲਾਵਰ ਖਾਤਿਆਂ ਨੂੰ ਹਾਈਜੈਕ ਕਰਨ ਲਈ ਸੰਕੇਤ-ਜੈਕਿੰਗ ਦਾ ਲਾਭ ਲੈ ਸਕਦੇ ਹਨ। ਜੇਕਰ ਕੋਈ ਲੌਗ-ਇਨ ਕੀਤਾ ਉਪਭੋਗਤਾ ਕਿਸੇ ਅਸੁਰੱਖਿਅਤ ਵੈਬਸਾਈਟ 'ਤੇ ਜਾਂਦਾ ਹੈ ਅਤੇ ਐਂਟਰ ਜਾਂ ਸਪੇਸ ਦਬਾਉਦਾ ਹੈ, ਤਾਂ ਉਹ ਅਣਜਾਣੇ ਵਿੱਚ ਇੱਕ ਠੱਗ OAuth ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਅਧਿਕਾਰਤ ਕਰ ਸਕਦਾ ਹੈ। ਇਹ ਸੰਭਵ ਹੈ ਕਿਉਂਕਿ ਦੋਵੇਂ ਪਲੇਟਫਾਰਮ OAuth ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਵਿਆਪਕ ਪਹੁੰਚ ਦੀ ਬੇਨਤੀ ਕਰਨ ਅਤੇ ਪ੍ਰਮਾਣੀਕਰਨ ਬਟਨਾਂ ਨੂੰ ਅਨੁਮਾਨ ਲਗਾਉਣ ਯੋਗ, ਸਥਿਰ ਪਛਾਣਕਰਤਾਵਾਂ ਨੂੰ ਨਿਰਧਾਰਤ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦੇ ਹਨ, ਉਹਨਾਂ ਨੂੰ ਸ਼ੋਸ਼ਣ ਲਈ ਸੰਵੇਦਨਸ਼ੀਲ ਬਣਾਉਂਦੇ ਹਨ।
ਜਿਵੇਂ ਕਿ ਕਲਿਕਜੈਕਿੰਗ ਵਿਧੀਆਂ ਵਿਕਸਿਤ ਹੁੰਦੀਆਂ ਰਹਿੰਦੀਆਂ ਹਨ, ਸੁਰੱਖਿਆ ਟੀਮਾਂ ਨੂੰ ਵੱਧ ਰਹੇ ਸੂਝਵਾਨ ਖਤਰਿਆਂ ਤੋਂ ਉਪਭੋਗਤਾ ਦੀ ਆਪਸੀ ਤਾਲਮੇਲ ਨੂੰ ਸੁਰੱਖਿਅਤ ਰੱਖਣ ਲਈ ਕਿਰਿਆਸ਼ੀਲ ਬਚਾਅ ਅਪਣਾਉਣੇ ਚਾਹੀਦੇ ਹਨ।