什麼是點擊劫持以及如何預防

已發表: 2023-01-17

點擊劫持是一種惡意網絡攻擊,自第一個網站進入 Internet 以來就一直存在。 點擊劫持者利用將一個網頁嵌入另一個網頁的方法。 結合欺騙性的社會工程學,點擊劫持攻擊的成功率高得離譜,每天都有數百萬毫無戒心的受害者。

WordPress作為全球最流行的建站框架,是點擊劫持的一大目標。 默認情況下,只有 WordPress 登錄頁面和管理區域不能嵌入到另一個網頁中。 如果您不想將網站的其他部分嵌入到其他地方,您必須自己採取措施保護它們。

本點擊劫持或用戶界面糾正攻擊指南將向您展示點擊劫持的工作原理,以便您確保您的 WordPress 網站內容不會被攻擊者用來竊取敏感信息或誘騙用戶做出傷害他們和/或幫助他們的事情。點擊劫持者。

什麼是點擊劫持?

顧名思義,點擊劫持會劫持點擊和其他網絡界面操作。 它允許點擊劫持者代表毫無戒心的受害者為自己的目的執行操作。

點擊劫持的技術名稱是“界面修正”。 點擊劫持者通過將合法網頁嵌入到他們自己的網站中來“重新修飾”合法網頁,他們自己的代碼可以在訪問者與其交互時偷偷修改發生的事情。 這是通過在犯罪分子創建的惡意網頁上嵌入合法內容(例如來自合法網站或服務的登錄頁面或付款屏幕)來實現的。 訪問者可以單擊看似無害的按鈕,將一些信息輸入文本框,甚至執行拖放操作。 他們看不到執行不同的、意想不到的、有利於攻擊者的操作的隱藏接口。

通過用您的內容偽裝他們的網站,點擊劫持者希望誘騙他們的網站訪問者執行其他不需要的操作,例如洩露敏感信息或下載惡意軟件。

點擊劫持

點擊劫持如何運作?

點擊劫持攻擊利用 HTML 的能力,通過使用<iframe><objects>元素將一個網站的網頁加載到另一個站點的頁面中。

大多數時候,用戶界面修復攻擊依賴於用戶登錄到某個網站並在與點擊劫持者“重新設計”的網站交互時相信他們在該網站上。 這樣,被誘騙到惡意網頁的人可能會執行點擊劫持者想要的某些操作,而不會意識到他們沒有與他們的銀行或熟悉的 WordPress 網站進行交互。

點擊劫持的五種主要類型

根據攻擊者的最終目標,有多種類型的點擊劫持策略。 它們的範圍從相對無害的活動(增加其內容網站的瀏覽量或在帖子或視頻上獲得點贊)到竊取登錄信息甚至是毫無戒心的受害者的錢。

點擊劫持是一種進行各種惡意活動的高度靈活的方式。 雖然點擊劫持被認為是一種網絡攻擊形式,但它也可能促進其他攻擊,例如 XSS 或跨站點腳本攻擊,甚至使用 XSS 有效負載來促進 XSRF 或跨站點請求偽造攻擊。

以下是五種最常見的點擊劫持攻擊類型:

  • 經典的點擊劫持。 涉及選擇受害網站或服務並使用其內容誘騙其用戶執行許多不需要的操作。
  • 喜歡劫持。 點擊劫持的舊變體旨在提高某個網頁或視頻的觀看次數和點贊次數。 可以被認為是相當無害的,現在很少見到了。
  • 光標劫持。 攻擊者使用的一種技術,將實際光標替換為假光標,以誘使用戶在不知情的情況下單擊惡意元素。
  • 餅乾劫持。 攻擊者常用的策略是獲取受害者瀏覽器存儲的 cookie。 大多數時候,它是由受邀在攻擊者的網頁上執行看似無害的拖放操作的用戶執行的。
  • 文件劫持。 攻擊利用瀏覽器打開用戶設備上的文件的能力,允許攻擊者訪問他們的本地文件系統。 除了本地文件系統之外,攻擊者還可以訪問您設備上的麥克風或您所在的位置。

點擊劫持的受害者:從社交媒體平台到在線支付系統

大約十年前,當 Facebook 和 Twitter 等主要社交媒體平台成為各種點擊劫持的受害者時,點擊劫持變得特別流行。 例如,在 2000 年代後期進行的一次點擊劫持攻擊使攻擊者只需單擊一下即可誘騙受害者向他們的整個 Facebook 好友列表發送垃圾郵件。

在過去十年中,用戶界面糾正的日益普及導致科技巨頭迅速採取適當措施來保護他們的平台免受此類攻擊。 然而,即使在今天,安全研究人員仍在不斷報告更多影響大型組織的漏洞。

最近發現的最突出的漏洞之一是影響 Paypal。 2021 年,威脅研究人員偶然發現了 Paypal 匯款服務中的一個漏洞,該漏洞可能允許攻擊者利用一鍵式資金轉賬從用戶賬戶中竊取資金。 Paypal 獎勵了研究人員並宣布了解決這一問題的計劃。

每週三將每週 WordPress 漏洞報告發送到您的收件箱。
現在訂閱

完美的陷阱:設置點擊劫持攻擊

任何點擊劫持攻擊都涉及三個主要步驟:選擇目標或受害網站、創建惡意網頁以及引誘目標網站或服務的客戶。

步驟 1. 選擇目標網站

由於絕大多數大型組織都實施了強大的安全措施來防止攻擊者對其客戶執行點擊劫持攻擊,因此黑客通常會針對較小的企業。 WordPress 網站對犯罪分子特別有吸引力,因為該軟件不強制執行任何默認安全措施來防止 WordPress 內容嵌入攻擊者的網站。

WordPress 登錄頁面和管理儀表板確實作為例外,但保護網站其餘部分的責任落在網站所有者身上。 下次當您想知道為什麼黑客會攻擊您的網站時,答案很簡單 — 黑客很容易將您作為目標,特別是如果您沒有保持 WordPress 軟件更新。 由於 WordPress 插件和主題中總是出現許多漏洞,因此必須對要安裝的內容做出正確的選擇。 然後保持所有軟件更新 否則,您很容易成為目標。

根據您運營的 WordPress 網站類型和您發布的內容,攻擊者可以針對網站的不同部分。 WordPress 點擊劫持通常以 Web 表單、WordPress 管理員外部的登錄頁面和啟用一鍵式結帳的 WooCommerce 結帳頁面為目標。

獲取獎勵內容:被黑網站清理清單
點擊這裡

步驟 2. 創建惡意網頁

一旦選擇了目標網站並發現它容易受到點擊劫持,攻擊者就會創建一個惡意網頁來誘騙用戶執行特定操作。 WordPress 點擊劫持很可能以電子商務功能為目標,但竊取憑據和發送垃圾郵件仍然是攻擊者設定的共同目標。

點擊劫持的一個很好的例子是聲稱您贏得了獎品並邀請您領取獎品的頁面。 通過點擊“領取我的獎品”按鈕,您實際上是在提供個人信息或確認購買或匯款。

步驟 3. 引誘目標網站的用戶進入陷阱

要使點擊劫持攻擊成功,攻擊者必須讓用戶打開他們的惡意網頁並相信它是合法的、熟悉的站點的一部分。 這可以通過多種方式實現,可能是通過在電子郵件中發送指向它的鏈接或將用戶從攻擊者先前入侵的受感染第三方網站重定向。

如果您不單擊異常、意外或可疑的電子郵件、文本或聊天中的鏈接,則點擊劫持嘗試成功的可能性非常低,即使攻擊者的惡意網頁看起來完全合法並且不會引起您的懷疑。 現代瀏覽器還採用了廣泛的保護措施來防止點擊劫持,您的警惕性和當前瀏覽器技術的結合可以顯著降低任何 UI 修復攻擊的成功率。

如何不成為點擊劫持的受害者

為保護自己免受各種類型的點擊劫持,請避免打開可疑的電子郵件、廣告和網站鏈接。 切勿安裝來自未經驗證來源的軟件。 由於點擊劫持依賴於欺騙性的社會工程實踐,因此學習如何發現它們是最好的防禦措施。 除此之外,您應該將所有瀏覽器和操作系統更新到最新版本。 您還可以安裝強大的瀏覽器安全擴展程序並使用現代防病毒軟件來確保您不會成為點擊劫持和其他危險網絡攻擊的受害者。

對點擊鏈接的邀請持懷疑態度

點擊劫持者通常通過電子郵件、短信和消息應用程序向潛在受害者發送鏈接。 如果您沒有採取任何措施來請求或觸發此類消息,請查看其來源。 點擊劫持者通常會從類似於 Paypal 等合法站點的域、子域和帳戶名發送消息。 看看您是否可以檢測到導致這些可疑發件人的細微差別:

  1. [電子郵件保護]
  2. http://paypaI.com

在第一種情況下,“paypal”是一個任何人都可以附加到主頂級域的子域,在本例中是“app1.com”。 那不是貝寶。

在第二種情況下,小寫字母“l”已替換為大寫字母“I”,這在許多常見字體中都是相同的。 點擊劫持者經常註冊像這樣的輕微拼寫錯誤的域,以誘使人們相信它們來自合法發件人。

您還可以查看電子郵件標頭以了解郵件的來源。 熟悉您的金融機構和其他重要帳戶使用的域和電子郵件地址。 他們還將製定一項政策,概述他們將如何與您聯繫或不與您聯繫以及他們將如何表明自己的身份。 不要相信任何超出這些參數範圍的通信。 安全總比後悔好!

安裝反點擊劫持瀏覽器擴展

除了瀏覽器的內置安全功能外,反點擊劫持瀏覽器擴展程序還可以為您提供更高級別的保護,防止點擊劫持和跨站點腳本攻擊。 NoScript 是 Google Chrome、Mozilla Firefox 和 Microsoft Edge 支持的最流行的跨瀏覽器擴展。 JS Blocker 是 Safari 用戶的 NoScript 的絕佳替代品。

保護您的 WordPress 網站免受點擊劫持的三個步驟

默認情況下,WordPress 會保護管理儀表板及其登錄頁面免受點擊劫持,但您網站的所有其他區域都需要額外的保護。 如今,針對大多數網站的攻擊數量之多,使得安全性成為網站所有者的最高優先級。

幸運的是,有很多方法可以保護自己免受 WordPress 點擊劫持。 , 你應該結合幾種方法來確保它們被所有瀏覽器支持。 此外,安全措施的組合將有助於確保您的網站內容免受 UI 補救攻擊可能促進的所有類型的惡意活動的侵害。

您可以採取三大步驟來保護您的 WordPress 網站免受點擊劫持:

  • 設置X-Frame-Options 標頭以阻止任何人在不受信任的第三方資源的框架中加載您的網站內容。
  • 配置內容安全策略 (CSP) frame-ancestors 指令以指定哪些網站可以將您網站的頁面嵌入框架中。 (通常,這可以設置為“無”。)
  • 使用Set-Cookie 標頭的 SameSite cookie 屬性來防禦點擊劫持和跨站點請求偽造 (CSRF) 嘗試。

使用 .htaccess 為 WordPress 配置 HTTP 響應標頭

響應標頭是 HTTP 標頭,用於為您的站點與其訪問者瀏覽器之間的客戶端-服務器通信定義特定變量。 它們對您的訪客是不可見的。 X-Frame-Options、Content Security Policy 和 Set-Cookie 都是 HTTP 響應標頭的示例。

雖然某些 WordPress 插件可用於在 WordPress 網站上配置 HTTP 響應標頭,但最簡單的方法是使用本地 .htaccess 文件。 (假設您的服務器環境使用 Apache 或 Litespeed 來處理 HTTP 請求。)網站根目錄中的 .htaccess 文件中指定的標頭配置將應用於網站上的所有頁面。

mod_headers Apache 模塊允許您使用Header setHeader append語句在 .htaccess 中配置響應標頭。 由於可以在 Web 服務器的全局配置中配置某些標頭,因此有時建議使用Header append將配置的值合併到現有響應標頭中,而不是替換現有配置。

由於您的託管服務提供商可以默認為所有網站配置某些 HTTP 響應標頭,因此最好在對 .htaccess 進行任何更改之前與他們聯繫以避免出現任何問題。

設置 X-Frame-Options 標頭

X-Frame-Options 標頭定義網頁是否可以在框架中呈現以及允許這樣做的資源列表。 X-Frame-Options 有兩個指令——DENY 和 SAMEORIGIN。 以前使用的 ALLOW-FROM 指令現在已棄用。

DENY 值有效地防止任何網站將您網站的內容嵌入到框架中。 如果請求來自您網站的其他頁面,則將 X-Frame-Options 設置為 SAMEORIGIN 允許內容框架。

要在 WordPress 網站上配置 X-Frame-Options 標頭,請將以下行之一添加到 WordPress 安裝目錄中的 .htaccess 文件。 (請注意使用了 set 選項。)

 標題集 X-Frame-Options "DENY"
 標頭集 X-Frame-Options“SAMEORIGIN”

儘管現代瀏覽器僅包括對 X-Frame-Options 的部分支持,甚至棄用它以支持 CSP frame-ancestors 指令,但在您的 WordPress 網站上配置它可以保護舊瀏覽器。

配置內容安全策略框架祖先指令

內容安全策略響應標頭是一種強大的安全措施,可以幫助減輕許多攻擊,包括點擊劫持、跨站點腳本、請求偽造、數據包嗅探和數據注入攻擊。 所有現代瀏覽器都支持內容安全策略。

內容安全策略的 frame-ancestors 指令可以設置為noneself以拒絕內容框架或將其使用限制在同一網站的範圍內,或者您可以指定受信任網站列表以及內容類型列表每個可以框架。

將以下行添加到 .htaccess 將限制將所有類型的內容構建到當前網站:

 標頭集 Content-Security-Policy “frame-ancestors 'self'”

以下變體需要使用 HTTPS:

 標頭集 Content-Security-Policy “frame-ancestors 'self' https://mywpsite.com”

添加具有 SameSite 屬性的 Set-Cookie 標頭

Set-Cookie 響應標頭用於將 cookie 從服務器傳輸到瀏覽器。 配置 SameSite 屬性允許您將 cookie 的使用限制在當前網站。 這有助於確保防止點擊劫持攻擊,這些攻擊需要用戶在目標網站上進行身份驗證和跨站點請求偽造。

如果在框架內向目標網站發出請求,將 SameSite 設置為strict可以有效地防止發送會話 cookie,即使用戶在目標資源上經過身份驗證也是如此。 請注意,僅靠措施無法減輕所有類型的點擊劫持和跨腳本偽造攻擊。

要在您的 WordPress 站點上實現 Set Cookie 標頭的 SameSite 屬性,請將以下行添加到 .htaccess 文件:

 標頭集 Set-Cookie ^(.*)$ "$1; SameSite=Strict; Secure

簡單的點擊劫持測試

您可以通過創建一個簡單的 HTML 頁面來檢查您網站的內容是否可以從其他資源加載到框架中。 使用 OWASP 提供的以下代碼創建一個 HTML 文件,並在瀏覽器中打開它。 如果您在框架中沒有看到嵌入的網頁,則內容框架已成功限制

請注意,最好將頁面上傳到您擁有的另一個網站,除非您已完全禁用內容框架。 在這種情況下,您可以創建您正在測試的相同網站之一。 

<html>
<head>
<title>Clickjacking Test</title>
</head>
<body>
<iframe src="https://mywpsite.com/some-page" width="500" height="500"></iframe>
</body>
</html>

使用 iThemes Security Pro 防止 WordPress 網站上的點擊劫持和其他網絡攻擊

點擊劫持,也稱為用戶界面矯正,利用在另一個網頁中加載一個網頁的能力來誘騙用戶執行其他不需要的操作。 由於缺乏內置保護措施來保護 WordPress 登錄頁面和管理儀表板以外的網頁,因此 WordPress 點擊劫持變得非常普遍。

通過限制他人使用 HTTP 響應標頭(例如 X-FRAME-OPTIONS、內容安全策略和 Set-Cookie)構建您網站內容的能力來保護自己免受點擊劫持。 使用 WordPress 安裝目錄中的本地 .htaccess 文件,您可以輕鬆地在整個站點應用這些安全策略。

點擊劫持仍然是一個活躍的安全威脅,跨站點腳本與請求偽造通常是相伴而生的。 通過對 WordPress 網站安全的各個方面採取謹慎的方法,開始保護自己免受此類常見安全威脅。

iThemes Security Pro 提供了 30 多種方法來保護您的 WordPress 網站最脆弱的區域,保護它免受惡意行為者使用的各種現代、複雜的策略。 強大的漏洞掃描、無密碼身份驗證和文件完整性監控可讓您顯著減少攻擊面。

BackupBuddy 和 iThemes Sync Pro 將幫助您定期備份您的 WordPress 網站,並提供高級正常運行時間監控和 SEO 分析。

iThemes 將確保您及時了解 WordPress 社區中的最新安全威脅和新聞。 如果您是 WordPress 新手,iThemes 免費 WordPress 培訓可能正是您良好開端所需要的。

保護和保護 WordPress 的最佳 WordPress 安全插件

WordPress 目前為超過 40% 的網站提供支持,因此它很容易成為懷有惡意的黑客的目標。 iThemes Security Pro 插件消除了 WordPress 安全性的猜測,使保護和保護您的 WordPress 網站變得容易。 這就像擁有一名全職安全專家,不斷為您監控和保護您的 WordPress 網站。

獲取 iThemes 安全專業版