Clickjacking: differenze tra le versioni
Contenuto cancellato Contenuto aggiunto
m WPCleaner v2.01 - Disambigua corretti 2 collegamenti - Click, Link |
|||
| (8 versioni intermedie di 6 utenti non mostrate) | |||
Riga 1:
Il '''clickjacking''' ("rapimento del [[Mouse#Clic|clic]]") è una tecnica informatica fraudolenta. Durante una normale navigazione [[web]], l'utente clicca con il puntatore del mouse su di un oggetto (ad esempio un [[Collegamento ipertestuale|link]]), ma in realtà il suo clic viene reindirizzato, a sua insaputa, su di un altro oggetto, che può portare alle più svariate conseguenze: dal semplice invio di spam, al download di un file, fino all'ordinare prodotti da siti di [[e-commerce]].
Oltre al rapimento del clic, possono essere intercettati i tasti premuti, ad esempio quando si inserisce la [[password]] dell'email o del conto bancario. Entrambe queste possibilità (rapimento del clic o dei tasti premuti sulla tastiera) vengono eseguite senza la cognizione dell'utente.
==Funzionamento==
Riga 8:
La prima è possibile a causa di una caratteristica, apparentemente innocua, di [[HTML]], con cui le [[Pagina web|pagine web]] possono essere usate per compiere azioni non previste. Si basa su [[JavaScript]], infatti nel momento del clic dell'utente c'è un gestore dell'evento che fa eseguire una determinata azione, agli attaccanti basta passare come parametri quello che gli serve.
Esiste però anche un'altra tecnica, chiamata [[Iframe|IFrame]] (Inner Frame), che consiste nel creare una pagina trasparente ed
Un utente cade nella trappola del clickjacking solitamente cliccando su un link. L'utente non è in grado di riconoscere la differenza tra una pagina sana e una pagina ingannevole, perciò può cadere nella trappola senza cognizione delle proprie azioni. Infatti combinando insieme [[CSS|fogli di stile]], pagine trasparenti e box di testo, gli utenti possono essere indotti a credere di inserire informazioni in una normale form compilativa (ad esempio password), quando invece vengono intercettate dagli attaccanti.
Riga 14:
== Esempi ==
Le applicazioni di questa tecnica sono le più varie, possono essere "innocue" oppure anche più pericolose per l'utente che ci casca; quelle per ora conosciute sono le seguenti:
* Portare l'utente ad acquistare un prodotto su [[Amazon.com|Amazon]]
* Attivare microfono e [[webcam]] dell'utente tramite [[Adobe Flash]] (questa situazione dovrebbe essere stata fixata)
* Scaricare e far partire dei [[malware]] sul computer dell'utente
* Far seguire all'utente qualcuno su [[Twitter]]
Riga 24:
== Prevenzione ==
Ci sono delle soluzioni per cercare di limitare questa problematica, possono essere sia [[client]] che server side, ovvero rispettivamente da realizzare dall'utente sul proprio browser che dal proprietario del sito.
=== Client-Side ===
Riga 58:
Questa soluzione rende obsoleta X-Frame-Options ed è preferita dai browser. Sfrutta la direttiva frame-ancestor del 'Content Security Policy' con la quale si può abilitare o disabilitare codice embedded da determinate pagine ostili.
==
* [[Hijacking|HiJacking]]▼
* Alessandro Bottoni, ''[http://punto-informatico.it/2419482/PI/Commenti/clickjacking-tutti-browser-vulnerabili.aspx Clickjacking, tutti i browser vulnerabili]'', Punto-Informatico.it, 29-09-2008 <small>(consultato in data 28-10-2017)</small>
* (EN) OWASP, [[owasp:Clickjacking|Clickjacking]], owasp.org, 25-02-2017 <small>(consultato in data 28-10-2017)</small>
Line 68 ⟶ 65:
* hackerstribe.com, [https://hackerstribe.com/2011/attacco-clickjacking-cosa-devi-sapere/ Attacco ClickJacking: Cosa devi sapere], hackerstribe.com, 3-12-2011 <small>(consultato in data 30-10-2017)</small>
== Voci correlate ==
▲* [[Hijacking|HiJacking]]
{{Portale|Sicurezza informatica|Telematica}}
| |||