Hi 👋, halaman kontak kami bukan hanya pajangan :) Pastikan anda tidak menghubungi pihak palsu yg mengatasnamakan kami !!

Table of Content

Advertisement

 
Home
Learn

Apa itu Clickjacking? Melindungi Website dari Bahaya Clickjacking dan Patch Bug Clickjacking

Mengenal Serangan Clickjacking attack, Mengamankan Website dari Clickjacking , Dampak Serangan Clickjacking, Cara Melindungi Dari Clickjacking

Clickjacking merupakan tata cara mengelabui pengguna situs website supaya mengklik tautan berbahaya, dengan menyembunyikan tautan tersebut selaku sesuatu yang lain.

Clickjacking diklasifikasikan selaku user interface redress attack (serangan ganti rugi antarmuka pengguna) ataupun UI redressing (ganti rugi UI) adalah metode jahat menipu pengguna supaya mengklik suatu yang berbeda dari apa yang dirasakan pengguna.

Bisa jadi sebagian dari kamu familiar dengan anggapan bahwa bila suatu web bisa dimasukkan diantara tag iframe sebagai embed pada web lain itu merupakan Clickjacking, maka anggapan itu SALAH.

Mungkin karena mayoritas webtools diluar sana dengan menyematkan kata "Clickjacking Test Tools " itu cuma sebatas menyuguhkan ketika website itu dapat di embed ataupun tidak.

Misal ketika web ini (https://www.xptch.my.id) bila kamu test dengan Clickjacking test, maka pasti bisa tampil disana. Namun disini tidak ada sesuatu yang berarti (cuma web statis) serta tidak berpengaruh banget pada serangan Clickjacking.

Berbeda dengan kasus yang dapat kamu pahami pada uraian disini https://clickjacker.io/clickjacking-interactive-tutorial. Dimana ada sesuatu hal yang dapat dimanipulasi dan kebetulan bisa memanfaatkan bug clickjacking ini.

Sekali lagi, Butuh digaris bawahi bahwa ketika website tersebut bisa di embed bukan berarti bisa dieksploitasi dengan metode Clickjacking, melainkan hanya berkemungkinan rentan terhadap kerentanan clickjacking.

Peristiwa Clickjacking memanglah menggunakan iframe dalam kasusnya. Tetapi bukan berarti bila website tersebut bisa di embed di website lain memakai tag iframe, memiliki celah Clickjacking.

Clickjacking tidak akan mempengaruhi situs kamu secara langsung, tetapi berpotensi mempengaruhi pengguna kamu. Serta cuma kamu yang dapat melindungi mereka.

Cara Kerja Serangan Clickjacking

Clickjacking merupakan semua jenis serangan pada aplikasi website yang membuat korbannya secara tidak terencana mengklik elemen halaman web yang sebenarnya tidak ingin diklik.

Perihal ini sangat kerap diterapkan pada halaman website dengan menumpangkan konten berbahaya pada halaman tepercaya. Contohnya pada suatu web ada opsi tombol "Klik Di Sini untuk memperoleh hadiah" . Berikutnya korban akan penasaran serta ingin klik tombol tersebut. Tetapi pada saat diklik nyatanya memicu fungsi jahat yang sudah dibuat oleh penyerang, mulai dari memalsukan ataupun mengikuti di media sosial hingga mengambil duit dari akun bank pengguna.

Disaat ini, pendekatan yang paling universal kerap dilakukan penyerang untuk clickjacking ialah dengan memanipulasi halaman website, sehingga halaman tersebut mempunyai sebagian layer. Misalnya di layer sangat dasar terdapat tombol "Klik Di Sini untuk memperoleh hadiah". Tetapi tepat diatasnya sudah terbuat layer tidak nampak / transparan. Hingga pada saat mau klik tombol hadiah gratis, sebetulnya yang di klik merupakan layer yang terselip diatasnya.

Dalam kata lain penyerang membajak tombol yang mau di klik serta ditukar dengan tombol lain yang memicu kegiatan jahat. Itulah kenapa disebut sebagai Clickjacking. Clickjacking bukan merupakan satu jenis serangan secara khusus, namun seluruh serangan yang menggunakan metode serta attack vector seperti itu.

Bahaya Clickjacking

Apa yang dapat dilakukan heker yang ahli dengan serangan clickjacking? Clickjacking pula sudah digunakan di waktu tempoe doeloe untuk:

  1. Panen kredensial login, dengan merender kotak login palsu di atas yang asli.
  2. Mengelabui pengguna supaya menyalakan kamera website ataupun mikrofon, dengan merender elemen tidak nampak di halaman setelan Adobe Flash.
  3. Menyebarkan worm di situs media sosial semacam Twitter serta MySpace.
  4. Mempromosikan penipuan online dengan mengelabui orang supaya mengklik hal- hal yang seharusnya tidak mereka lakukan.
  5. Menyebarkan malware dengan mengalihkan pengguna ke tautan unduhan berbahaya.

Melindungi Website dari Clickjacking

Serangan clickjacking membungkus halaman yang dipercaya pengguna di iframe, kemudian membuat elemen tidak nampak di atas bingkai. Untuk membenarkan kalau situs kamu tidak digunakan dalam serangan clickjacking, kamu perlu memastikan bahwa itu tidak dapat dibungkus dalam iframe oleh situs jahat. Ini dapat dicoba dengan membagikan instruksi browser secara langsung lewat header HTTP, ataupun di browser lama dengan memakai JavaScript sisi klien( frame- killing).

1. Dengan X-Frame-Options

Header HTTP X-Frame-Options bisa digunakan guna menampilkan apakah browser harus diizinkan untuk merender halaman dalam <frame>, <iframe>, maupun <object> tag. Itu dirancang spesial untuk membantu melindungi terhadap clickjacking.

Ada 3 nilai yang diizinkan untuk header:

  • DENY : Halaman tidak bisa ditampilkan dalam bingkai, terlepas dari situs yang mencoba melakukannya.
  • SAMEORIGIN : Halaman cuma bisa ditampilkan dalam bingkai dengan asal yang sama dengan halaman itu sendiri.
  • ALLOW-FROM *uri* : Halaman cuma bisa ditampilkan dalam bingkai pada asal yang ditentukan.

Contoh penerapannya menggunakan X-Frame-Options pada server / website yang berisikan seperti dibawah ini

Pada file konfigurasi httpd.conf IBM HTTP Server Apache:

Header always append X-Frame-Options SAMEORIGIN

Pada file .htaccess di Shared Web Hosting:

Header append X-FRAME-OPTIONS "SAMEORIGIN"

2. Dengan Content Security Policy( CSP)

Header HTTP Content-Security-Policy merupakan bagian dari standar HTML5, serta membagikan proteksi yang lebih luas daripada X-Frame-Options header( yang digantikannya). Ini dirancang sedemikian rupa sehingga penulis situs website bisa memasukkan domain individu ke catatan putih dari mana sumber daya( semacam skrip, stylesheet, serta font) bisa dimuat, serta pula domain yang diizinkan untuk menyematkan halaman.

Guna mengontrol tempat situs kamu dapat disematkan, gunakan arahan frame-ancestors :

  • Content-Security-Policy: frame-ancestors 'none' : Halaman tidak dapat ditampilkan dalam bingkai, terlepas dari situs yang berupaya melakukannya.
  • Content-Security-Policy: frame-ancestors 'self' : Halaman cuma bisa ditampilkan dalam bingkai dengan asal yang sama dengan halaman itu sendiri.
  • Content-Security-Policy: frame-ancestors *uri* : Halaman cuma bisa ditampilkan dalam bingkai pada asal yang didetetapkan.

3. Dengan Frame Killing

Sebagian besar situs tidak perlu disematkan dalam iframe, jadi skrip pembunuh bingkai mudah diterapkan. Bila penyematan dibutuhkan dalam aplikasi kamu, pertimbangkan untuk menambahkan daftar domain yang diizinkan, sehingga kamu memiliki kendali atas tempat konten kamu disematkan.

Pembunuhan bingkai menawarkan tingkat proteksi yang besar terhadap clickjacking, tetapi bisa rawan kesalahan. Pastikan untuk mengatur header HTTP yang cocok selaku jalan pertama dalam melindungi situs kamu.

Cara kerjanya, saat halaman dimuat, kode tersebut akan memeriksa apakah domain halaman cocok dengan domain jendela browser, yang tidak akan benar saat halaman disematkan dalam iframe.

Dan berikut adalah beberapa contoh script untuk mengilustrasikan cara menerapkan frame-killing dalam JavaScript, dan cara mengatur header HTTP yang disebutkan di atas dalam berbagai bahasa dan kerangka kerja web.

Javascript :

<style>
  /* Hide page by default */
  html { display : none; }
</style>

<script>
  if (self == top) {
    // Everything checks out, show the page.
    document.documentElement.style.display = 'block';
  } else {
    // Break out of the frame.
    top.location = self.location;
  }
</script>

Python (Django) :

response = render_to_response("template.html", {}, context_instance=RequestContext(request))
response['X-Frame-Options'] = 'DENY'
response['Content-Security-Policy'] = "frame-ancestors 'none'"
return response

Ruby (Rails)

response.headers['X-Frame-Options'] = 'DENY'
response.headers['Content-Security-Policy'] = "frame-ancestors 'none'"

Java

public void doGet(HttpServletRequest request, HttpServletResponse response)
{
  response.addHeader("X-Frame-Options", "DENY");
  response.addHeader("Content-Security-Policy", "frame-ancestors 'none'");
}

C#

Response.AppendHeader("X-Frame-Options", "DENY");
Response.AppendHeader("Content-Security-Policy", "frame-ancestors 'none'");

Node

response.setHeader("X-Frame-Options", "DENY");
response.setHeader("Content-Security-Policy", "frame-ancestors 'none'");

PHP

header("X-Frame-Options: DENY");
header("Content-Security-Policy: frame-ancestors 'none'", false);

Wkwkwk, padahal sangat mudah untuk melindungi web kamu dari kemungkinan serangan clickjacking bukan?

Oh iyaa, penjelasan diatas sepertinya kurang lengkap. Mungkin sisanya seperti kategori Clickjacking bisa kamu pelajadi disini https://en.wikipedia.org/wiki/Clickjacking.

Sekian, semoga bermanfaat  :D

jack of all technologies, master of none.

This Content is Protected by DMCA.com

DMCA.com Protection Status




Post a Comment

Bijaklah dalam berkomentar, jejak digital itu kejam.
image quote pre
X-PLOITECH By OZHAXID