Tentang serangan Clickjacking

Saya lagi baca-baca tentang serangan clickjacking.  Clickjacking adalah sebuah jenis serangan baru pada aplikasi web.  Contohnya begini, ada sebuah website yang menampilkan sebuah pilihan tombol, klik disini untuk mendapatkan Laptop Gratis.  Korban tentunya penasaran dan ingin mengklik tombol tersebut. Namun ketika diklik ternyata web akan menjalankan fungsi jahat yang telah dibuat oleh penyerang.

Clickjacking

Jadi halaman web tersebut telah dimanipulasi oleh penyerang. Sehingga halaman tersebut sesungguhnya memiliki beberapa layer (iframe). Misalnya di layer paling bawah ada tombol klik disini untuk mendapatkan laptop gratis. Namun diatas halaman tersebut ada sebuah layer yang tidak terlihat (invisible). Jadi ketika kita ingin mengklik tombol laptop gratis tadi, sesungguhnya yang kita klik adalah layer yang tidak terlihat tersebut. Dari sanalah kata clickjacking muncul. Jadi penyerang membajak sebuah tombol  yang kita ingin klik, dan diganti dengan tombol lain yang berbahaya.

Nah layer tersembunyi (invisible) ini bisa berisi macam-macam. Misalnya pada layer tersembunyi tersebut penyerang menampilkan halaman email kita dengan sebuah tombol “hapus semua pesan”. Ketika kita ingin mengklik tombol laptop gratis, sesungguhnya yang kita klik adalah tombol “hapus semua pesan”.

Contoh serangan

Contoh kasus lainnya pada sebuah halaman ada pilihan tombol untuk menampilkan sebuah animasi flash. Namun penyerang yang membuat halaman tersembunyi diatasnya untuk merubah konfigurasi adobe flash kita. Jadi ketika kita ingin mengklik tombol untuk memainkan animasi flash, sesungguhnya yang kita klik adalah konfigurasi flash untuk mengaktifkan kamera dan mikrofon pada laptop kita. Dengan cara ini penyerang bisa membajak kamera dan mikrofon laptop kita.

Contoh lainnya adalah kasus Twitter worm. Jadi penyerang menampilkan sebuah halaman untuk melihat sebuah berita di Twitter. Namun ketika diklik, yang terjadi adalah korban melakukan retweet sebuah link alamat berbahaya.  Contoh lainnya penyerang memanfaatkan serangan ini untuk mendapatkan penghasilan google adsens. Sementara kasus yang paling berbahaya adalah penyerang menggunakan teknik untuk menyebarkan malware.

Selain clickjacking, ada beberapa varian dari serangan ini yaitu: likejacking, cursorjacking dan password manager attack. Untuk pencegahan ada beberapa cara yang bisa digunakan. Pada sisi client misalnya bisa menambahkan addons Noscript pada browser. Selain itu ada juga  GuardedID . Sementara pada sisi server bisa menggunakan Frame-killer, X-Frame Options, atau menggunakan kebijakan content security policy.

Buat para pencari judul yang masih galau, silahkan pelajari tentang cara untuk penanganan serangan clickjacking ini. Semoga bermanfaat!

Paper tentang Clickjacking:

http://www.sectheory.com/clickjacking.htm

Halaman wiki tentang clickjacking:

https://en.wikipedia.org/wiki/Clickjacking

Halaman Owasp tentang Clickjacking

https://www.owasp.org/index.php/Clickjacking

https://www.owasp.org/index.php/Testing_for_Clickjacking_(OTG-CLIENT-009)

Teknik pencegahan clickjacking

https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet

Paper tentang deteksi clickjacking

https://www.jstage.jst.go.jp/article/ipsjjip/23/4/23_513/_pdf

 

Silahkan tuliskan tanggapan, kritik maupun saran