clickjacking क्या है?

clickjacking-kya-hai

clickjacking क्या है?

clickjacking एक ऐसा attack है जो user को यह सोचकर मूर्ख बनाता है कि वे एक चीज़ पर click कर रहे हैं जब वे वास्तव में दूसरी पर CLICK कर रहे होते हैं। इसका दूसरा नाम, यूजर इंटरफेस (UI) निवारण, क्या हो रहा है इसका बेहतर वर्णन करता है। उपयोगकर्ता सोचते हैं कि वे वेब पेज के सामान्य UI का उपयोग कर रहे हैं, लेकिन वास्तव में control में एक छिपा हुआ UI है; दूसरे शब्दों में, UI का निवारण कर दिया गया है। जब उपयोगकर्ता किसी ऐसी चीज़ पर क्लिक करते हैं जो उन्हें लगता है कि सुरक्षित है, तो छिपा हुआ UI एक अलग क्रिया करता है।

HTML frames (iframes) के लिए attack संभव है, frame के माध्यम से अन्य वेब पेजों के भीतर वेब पेज प्रदर्शित करने की क्षमता। यदि कोई वेब पेज खुद को एक frame के भीतर display करने की permission देता है, तो एक attacker मूल वेब पेज को एक छिपी, पारदर्शी परत के साथ अपने स्वयं के java-script और UI elements के साथ कवर कर सकता है। attacker फिर user को malicious page पर जाने के लिए प्रेरित करता है, जो ठीक उसी तरह दिखता है जैसे user जानते हैं और उस पर भरोसा करते हैं। कोई संकेत नहीं है कि मूल साइट पर स्तरित एक छिपा हुआ UI है। उपयोगकर्ता मूल साइट से किसी विशेष कार्रवाई की अपेक्षा करते हुए किसी link या बटन पर क्लिक करते हैं, और इसके बजाय हमलावर की script चलती है। लेकिन attacker की script यह दिखाने के लिए अपेक्षित कार्रवाई भी कर सकती है कि कुछ भी गलत नहीं हुआ है।

READ ALSO  Youtube विडिओ को Background में कैसे चलाये?

clickjacking अपने आप में attack का अंतिम लक्ष्य नहीं है; यह users को यह सोचने के लिए कि वे कुछ सुरक्षित कर रहे हैं, किसी अन्य हमले को शुरू करने का एक साधन मात्र है। वेब पेजों के माध्यम से वास्तविक हमला वस्तुतः कुछ भी संभव हो सकता है। यह दुर्भावनापूर्ण कार्रवाइयों से लेकर, जैसे कि malware इंस्टॉलिंग करना या credentials चोरी करना, और अधिक अहानिकर चीजों तक, जैसे कि असंबंधित साइटों पर क्लिक आंकड़े बढ़ाना, साइटों पर विज्ञापन राजस्व बढ़ाना, फेसबुक पर पसंद हासिल करना, या YouTube वीडियो के बढ़ते दृश्य।

क्या clickjacking के खिलाफ कोई बचाव है?

Clickjacking - Ryte Wiki - The Digital Marketing Wiki

clickjacking के खिलाफ कोई सटीक बचाव नहीं है। लेकिन आपके जोखिम को कम करने के लिए आप कुछ कदम उठा सकते हैं। client side पर, java-script को disable करना प्रभावी है, लेकिन चूंकि बहुत सारी साइटें java-script पर निर्भर करती हैं, इसलिए इसे बंद करने से कई साइटें अनुपयोगी हो जाती हैं। कुछ व्यावसायिक उत्पाद हैं जो iframes के वास्तविक उपयोग को प्रभावित न करने का प्रयास करते हुए सुरक्षा प्रदान कर सकते हैं। यह एक संगठन के भीतर अच्छी तरह से काम कर सकता है, जहां उत्पादों को कर्मचारी desktop पर रोल आउट किया जा सकता है, लेकिन यह संगठन की वेबसाइटों का उपयोग करने वाले ग्राहकों की सुरक्षा के लिए कुछ नहीं करता है।

READ ALSO  बिना नंबर के Signal App कैसे चलाये

X-Frame-Options क्या हैं?

एक अन्य विकल्प X-Frame-Options HTTP शीर्षलेख का उपयोग करना है। यह किसी एप्लिकेशन को यह निर्दिष्ट करने की अनुमति देता है कि क्या फ्रेम का उपयोग केवल DENY मान के माध्यम से अस्वीकार कर दिया गया है, या फ़्रेम के उपयोग की अनुमति SAMEORIGIN या ALLOW-FROM मानों द्वारा है। मुख्यधारा के आधुनिक ब्राउज़र इस हेडर विकल्प का समर्थन करते हैं, लेकिन अन्य ब्राउज़र नहीं कर सकते हैं।

Possible X-Frame-Options:

X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN
X-Frame-Options: ALLOW-FROM https://example.com/

Content Security Policy (CSP) क्या है?

clickjacking रक्षा के लिए अंतिम और अधिक आधुनिक विकल्प Content Security Policy (CSP) और इसके फ्रेम-पूर्वजों के निर्देश का उपयोग करना है। यह निर्देश एप्लिकेशन डेवलपर को एक्स-फ़्रेम-विकल्प के समान सभी फ़्रेम उपयोग को अस्वीकार करने या निर्दिष्ट करने की अनुमति देता है जहां इसकी अनुमति है। CSP सभी ब्राउज़रों में उपलब्ध नहीं है, और ब्राउज़र प्लग इन और ऐड-ऑन पॉलिसी को बायपास करने में सक्षम हो सकते हैं। यदि एक्स-फ़्रेम-विकल्प शीर्षलेख और सीएसपी फ़्रेम-पूर्वजों दोनों का उपयोग किया जाता है, तो ब्राउज़रों को सीएसपी के निर्देशों को प्राथमिकता देनी चाहिए, लेकिन सभी नहीं।

READ ALSO  VPN क्या है

संभावित सीएसपी फ्रेम-पूर्वज सेटिंग्स:

Content-Security-Policy: frame-ancestors ‘none’
Content-Security-Policy: frame-ancestors ‘self’
Content-Security-Policy: frame-ancestors example.com

चूंकि इनमें से कोई भी बचाव पूर्ण नहीं है, इसलिए गहन रक्षा एक अच्छा अभ्यास है, और आपकी वेबसाइटों पर तीनों बचावों का उपयोग करने में कुछ भी गलत नहीं है।

Leave a Reply

Your email address will not be published. Required fields are marked *