کاربر مهمان، خوش آمديد!  ( ورود - عضويت )   امروز 9 مرداد ماه ، 1389
 
.:.Best-ir.com.:.: انجمن های گفتگو

 
:: نمايش موضوعات - Clickjacking یا کلیک دزدی چیست؟

 سوالات رايج مربوط به تالارهاي گفتمانسوالات رايج مربوط به تالارهاي گفتمان   جستجوجستجو   ليست كاربرانليست كاربران   گروههاي كاربريگروههاي كاربري   مشخصاتمشخصات   

ورود به سيستم و كنترل پيغامهاي شخصيورود به سيستم و كنترل پيغامهاي شخصي  
ورود به سيستمورود به سيستم  
Clickjacking یا کلیک دزدی چیست؟

 
ارسال موضوع جديد  پاسخ به اين موضوع     صفحه اول انجمن -> تکنولوژی
نمايش موضوع قبلي :: نمايش موضوع بعدي  
نويسنده پيغام
DarkEvil
پیشکسوت سایت
پیشکسوت سایت

وضعیت: آفلاين
7 اسفند ماه ، 1388
تعداد ارسالها: 7085
تشکر کرده: 1765
تشکر شده 2101 بار در 1237 پست

محل سكونت: جهنم
ارسالارسال شده در: چهارشنبه، 19 اسفند ماه ، 1388 04:20:51    موضوع مطلب: Clickjacking یا کلیک دزدی چیست؟ پاسخ همراه با اعلان
Clickjacking یا کلیک دزدی چیست؟


سطح بندی مطلب:
متوسط

کلیک جکینگ (کلیک دزدی) یک روش هوشمندانه است برای ترغیب یا مجبور کردن کاربران به کلیک کردن روی چیزی، بدون اینکه از آن آگاه باشند. این تکنیک به شکل های مختلفی اتفاق میفتد و ممکن است هر کاربری را فریب دهد، اما با کمی دقت و استفاده از ابزارهایی خاص، می‌توان از آسیب‌های این روش در امان ماند.

برای مثال با استفاده از CSS لایه‌ای شفاف روی صفحه وب قرار می‌گیرد که باعث می‌شود تمام صفحه به یک لینک تبدیل بشود و با کلیک کردن روی قسمت‌های خالی صفحه به مکان مورد نظر هکر منتقل بشوید. بعضی اوقات هکر ها از روش‌های مهندسی اجتماعی استفاده می کنند. برای مثال لینکی ارسال می‌کنند با عنوان: روی من کلیک نکنید! تا کاربران را ترغیب کنند که روی آن لینک کلیک کنند.



البته از این روش برای نشان دادن تبلیغات و صفحات فروش یک محصول هم استفاده می‌شود، اما نکته مهم اینجا است که باید دقت کنیم که چه لینکی مناسب، بی خطر و سالم است و کدام لینک نامعتبر و حتی خطرناک. چرا که ممکن است از کلیک جکینگ برای مقاصدی مانند اسپوفینگ یا اجرای کدهای مخرب روی کامپیوتر کاربر استفاده گردد و در این صورت ممکن است اطلاعات مهمتری را از دست بدهیم.

چطور متوجه یک صفحه مشکوک شویم؟
اینگونه صفحات، معمولاً کاربر را به کلیک بر روی لینکهایی ترغیب می کند که با توضیحاتی اغوا کننده دربرگرفته شده اند و کلیدهایی با ظاهر زیبا و جذاب دارند. هنگامی که کاربر بر روی کلید مربوطه کلیک می‌کند، عملیات اصلی در صفحه پنهانی که لینک آن به کاربر نمایش داده نمی‌شده، انجام می‌شود. صفحه مخفی ممکن است ظاهر یک صفحه معتبر را داشته باشد ولی بعد از آن، حمله کنندگان می توانند کاربر را ترغیب به چیزهایی که تا به حال انجام نداده کنند تا اینکه او را به صفحات دیگر منتقل کنند.

مثالهایی از این دسته وجود دارند که به آنها اشاره می‌کنیم:

شما ایمیلی دریافت می‌کنید که ظاهراً لینکی به ویدئوی مهمترین خبر روز در آن وجود دارد. اما لینک در واقع صفحه فروش محصولی در سایتی غیر معتبر است. با فشار دادن کلید Play در ایمیل به جای اجرای ویدئو، شما با صفحه فروش محصول مواجه می‌شوید.

از Clickjacking در مواردی از جمله موارد زیر هم استفاده می شود:
اجازه گرفتن از کاربر برای فعال کردن وبکم و میکروفون
ترغیب کاربر به فعال کردن پروفایلش برای بازدید عموم
فالوشدن در توئیتر
داغ کردن لینک ها در شبکه های اجتماعی
و ...

اینجا مثال تصویری خوب و ساده دیگری از کلیک جکینگ در تویئتر وجود دارد:

در این تصویر مشخص است که تنها با استفاده از کلمه Don‪'‬t Click کاربر چگونه ترغیب به کلیک کردن بر روی لینک مشخص شده می‌شود. نکته اینجا است که با کلیک بر روی این لینک کاربر در واقع به صفحه اصلی توئیتر منتقل میشد که همانطور که در تصویر زیر مشاهده می‌کنید، یک لایه با شفافیتی کمتر زیر صفحه اصلی کشیده شده. اگر به کلید ارسال توئیت دقت کنید مشخص است که این کلید دستکاری شده و صفحه ای که با شفافیت کمتر روی صفحه اصلی تویئتر کشیده شده و کاربر را به صفحه دیگر منتقل می‌کند و در‌ واقع کلیک کاربر را می‌دزدد.

چه باید کرد؟
برای اینکه در دام این تکنیک گرفتار نشویم، استفاده از افرونه NoScript در فایرفاکس پیشنهاد می‌شود. چرا که این افزونه در مواردی که از اسکریپت های مخرب برای این روش استفاده شده باشد، از حملات کلیک دزدی جلوگیری می‌کند.
اما باید بدانید که Clickjacking بیشتر تحت CSS اعمال می‌شود و این مورد باعث می‌شود که NoScript و ابزارهای مشابه نتوانند این تکنیک را در چنین صفحاتی تشخیص دهند‫.‬ اینجا است که فقط هوشیاری خودتان است که می‌تواند بهتر از هر ابزاری در جلوگیری از به دام افتادن شما را یاری کند‫.‬

پس هنگامی‌که مشغول گشت و گذار در وب هستید مراقب لینک ها و کلیدهای مشکوک باشید و اگر فکر می‌کنید لینک یا کلیدی مشکل دارد، حتی‌المقدور از کلیک بر روی آن دست بکشید‫.‬

نکته مهمی که در بسیاری موارد به کاربر کمک می‌کند که از دزدیده شدن کلیک‌ها و خطرات احتمالی بعدی در امان بماند، دقت در آدرس URL هر لینک است. حتماً دقت کرده‌اید که اگر نشانگر موس خود را بر روی یک لینک مانند نگهبان بیاورید، قبل از اینکه کلیک کنید، آدرسی که لینک مربوطه شما را به آن هدایت می‌کند، در پایین مرورگر خود مشاهده می‌کنید(در اینجا “http://www.negahbaan.com”). بدین ترتیب از بسیاری از کلیک دزدی هایی که ممکن است برای شما اتفاق بیفتد در امان هستید. چرا که با تطبیق توضیحات لینک و آدرس URL مربوطه که در پایین مرورگر مشاهده می‌کنید، می‌توانید در موارد زیادی تشخیص دهید که این لینک معتبر هست یا نه. البته این هم به طور کامل نمی‌تواند مانع کلیک جکینگ شود، اما دقت در آدرس واقعی لینک‌ها قبل از کلیک شدیداً توصیه می‌شود.
_________________
I AM HELL FIRE......LORD OF DARKNESS
ARMY OF DARKNESS
بازگشت به بالا
رويت مشخصات كاربر ارسال پيغام شخصي ارسال ايميل
تمامي مطالب ارسال شده:   
ارسال موضوع جديد   پاسخ به اين موضوع   

    صفحه اول انجمن -> تکنولوژی

 زمان پيشفرض سايت: ساعت گرينويچ + 3.5 ساعت
صفحه 1 از 1
  
نام کاربري:      کلمه عبور:     

~ يا ~
عضويت در سايت

  


 

Powered by phpBB & Farsi Project By PHPNuke.ir  
Forum style designed by PixelSlot  

صفحه اصلی | عضویت در سایت | دریافت فایل | تالار گفتمان | جستجو در سایت | جستجو در انجمن | آرشیو اخبار | تماس با ما



  

PHPNuke Farsi [MT Edition] Project By PHPNuke.ir