Pengertian serangan clickjacking dan cara kerjanya

by Hairiman
0 comment

Clickjacking adalah salah satu contoh trick pengambilan data,dengan modus penipuan.
Trick ini berpotensi mengirim perintah yang tidak sah atau mengungkapkan informasi rahasia sementara korban berinteraksi pada halaman web yang tampaknya tidak berbahaya.

Contohnya begini, ada sebuah website yang menampilkan sebuah pilihan tombol, klik disini untuk mendapatkan Laptop Gratis.  Korban tentunya penasaran dan ingin mengklik tombol tersebut. Namun ketika diklik ternyata web akan menjalankan fungsi jahat yang telah dibuat oleh penyerang.

Clickjacking

Jadi halaman web tersebut telah dimanipulasi oleh penyerang. Sehingga halaman tersebut sesungguhnya memiliki beberapa layer (iframe). Misalnya di layer paling bawah ada tombol klik disini untuk mendapatkan laptop gratis. Namun diatas halaman tersebut ada sebuah layer yang tidak terlihat (invisible). Jadi ketika kita ingin mengklik tombol laptop gratis tadi, sesungguhnya yang kita klik adalah layer yang tidak terlihat tersebut. Dari sanalah kata clickjacking muncul. Jadi penyerang membajak sebuah tombol  yang kita ingin klik, dan diganti dengan tombol lain yang berbahaya.

serangan clickjacking

Nah layer tersembunyi (invisible) ini bisa berisi macam-macam. Misalnya pada layer tersembunyi tersebut penyerang menampilkan halaman email kita dengan sebuah tombol “hapus semua pesan”. Ketika kita ingin mengklik tombol laptop gratis, sesungguhnya yang kita klik adalah tombol “hapus semua pesan”.

Contoh serangan

Contoh kasus lainnya pada sebuah halaman ada pilihan tombol untuk menampilkan sebuah animasi flash. Namun penyerang yang membuat halaman tersembunyi diatasnya untuk merubah konfigurasi adobe flash kita. Jadi ketika kita ingin mengklik tombol untuk memainkan animasi flash, sesungguhnya yang kita klik adalah konfigurasi flash untuk mengaktifkan kamera dan mikrofon pada laptop kita. Dengan cara ini penyerang bisa membajak kamera dan mikrofon laptop kita.

Contoh lainnya adalah kasus Twitter worm. Jadi penyerang menampilkan sebuah halaman untuk melihat sebuah berita di Twitter. Namun ketika diklik, yang terjadi adalah korban melakukan retweet sebuah link alamat berbahaya.  Contoh lainnya penyerang memanfaatkan serangan ini untuk mendapatkan penghasilan google adsens. Sementara kasus yang paling berbahaya adalah penyerang menggunakan teknik untuk menyebarkan malware.

Selain clickjacking, ada beberapa varian dari serangan ini yaitu: likejackingcursorjacking dan password manager attack. Untuk pencegahan ada beberapa cara yang bisa digunakan. Pada sisi client misalnya bisa menambahkan addons Noscriptpada browser. Selain itu ada juga  GuardedID . Sementara pada sisi server bisa menggunakan Frame-killer, X-Frame Options, atau menggunakan kebijakan content security policy.

Buat para pencari judul yang masih galau, silahkan pelajari tentang cara untuk penanganan serangan clickjacking ini. Semoga bermanfaat!

Paper tentang Clickjacking:

http://www.sectheory.com/clickjacking.htm

Halaman wiki tentang clickjacking:

https://en.wikipedia.org/wiki/Clickjacking

Halaman Owasp tentang Clickjacking

https://www.owasp.org/index.php/Clickjacking

https://www.owasp.org/index.php/Testing_for_Clickjacking_(OTG-CLIENT-009)

Teknik pencegahan clickjacking

https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet

Paper tentang deteksi clickjacking

https://www.jstage.jst.go.jp/article/ipsjjip/23/4/23_513/_pdf

You may also like

Leave a Comment