Clickjacking, auch bekannt als “UI-Redress-Attacke”, ist eine bösartige Technik, die einen Nutzer dazu verleitet, auf eine SchaltflĂ€che oder einen Link auf einer Webseite zu klicken, wĂ€hrend er den Eindruck hat, dass er auf etwas anderes klickt. Dazu werden transparente Overlays verwendet oder die SchaltflĂ€che oder der Link auf einer anderen Webseite platziert, die in einem versteckten Frame geladen wird. Der Angreifer kann dann den Klick des Nutzers nutzen, um in seinem Namen Aktionen durchzufĂŒhren, wie z. B. einen Kauf zu tĂ€tigen oder einen Kommentar zu posten. Clickjacking kann auch dazu verwendet werden, sensible Informationen wie z. B. Anmeldedaten zu stehlen. Der Angreifer kann die Clickjacking-Technik auch nutzen, um Malware zu verbreiten oder den Nutzer auf eine Phishing-Website umzuleiten. Um Clickjacking zu verhindern, können Website-Entwickler Frame-Busting-Techniken einsetzen, die verhindern, dass ihre Website in einem Frame geladen wird, oder sie können den HTTP-Header X-Frame-Options verwenden, mit dem sie einschrĂ€nken können, welche Websites ihre Inhalte in einem Frame laden dĂŒrfen. AuĂerdem können Nutzer/innen Browsererweiterungen installieren, die Frames und Overlays blockieren, oder sie können JavaScript in ihrem Browser deaktivieren.
Clickjacking identifizieren
Es gibt mehrere Möglichkeiten, Clickjacking auf einer Website zu erkennen:
- Achte auf Transparenz: Achte auf transparente Overlays auf der Website, die SchaltflÀchen oder Links verdecken können. Diese Overlays werden verwendet, um den Nutzer dazu zu verleiten, auf etwas zu klicken, dessen er sich nicht bewusst ist.
- ĂberprĂŒfe den Quellcode: ĂberprĂŒfe den Quellcode der Website, um zu sehen, ob er versteckte Frames enthĂ€lt. Diese Frames können dazu verwendet werden, eine andere Webseite ĂŒber die sichtbare zu laden, um den Nutzer oder die Nutzerin dazu zu verleiten, auf etwas zu klicken.
- PrĂŒfe auf unerwartete Aktionen: Achte auf unerwartete Aktionen, die nach dem Klicken auf eine SchaltflĂ€che oder einen Link auftreten, z. B. dass du auf eine andere Website weitergeleitet wirst oder dass automatisch etwas in deinem Namen gepostet wird.
- Verwende Browser-Erweiterungen: Verwende Browsererweiterungen, die speziell dafĂŒr entwickelt wurden, Clickjacking-Versuche zu erkennen und zu blockieren. Diese sind fĂŒr die meisten Browser wie Chrome und Firefox erhĂ€ltlich.
- Achte auf verdÀchtiges Verhalten: Achte auf verdÀchtiges oder unerwartetes Verhalten beim Surfen auf einer Website. Es ist immer am besten, vorsichtig zu sein und nicht auf etwas zu klicken, bei dem du dir unsicher bist.
Es ist wichtig zu wissen, dass manche Clickjacking-Versuche schwer zu erkennen sind. Deshalb ist es immer eine gute Idee, sich ĂŒber die neuesten Sicherheitsbedrohungen auf dem Laufenden zu halten und beim Klicken auf Links oder SchaltflĂ€chen auf unbekannten Websites vorsichtig zu sein.
Clickjacking verhindern
Es gibt mehrere Möglichkeiten, Clickjacking zu vermeiden:
- Verwende den HTTP-Header X-Frame-Options: Mit diesem Header kannst du einschrĂ€nken, welche Websites deine Inhalte in einem Frame laden dĂŒrfen. Indem du den X-Frame-Options-Header auf “SAMEORIGIN” setzt, kannst du sicherstellen, dass deine Website nur in einem Frame auf derselben Domain geladen werden kann.
- Verwende Frame-Busting-Techniken: Das sind Skripte, mit denen du verhindern kannst, dass deine Website in einem Frame geladen wird. Wenn eine Website in einem Frame geladen wird, leitet das Skript den Nutzer auf die eigentliche Website um und nicht auf die gerahmte Version.
- Deaktiviere JavaScript: Die Deaktivierung von JavaScript in deinem Browser kann einige Clickjacking-Angriffe verhindern, da viele dieser Angriffe auf JavaScript basieren, um transparente Overlays oder versteckte Frames zu erstellen.
- Verwende Browser-Erweiterungen: Verwende Browsererweiterungen, die speziell dafĂŒr entwickelt wurden, Clickjacking-Versuche zu erkennen und zu blockieren. Diese sind fĂŒr die meisten Browser wie Chrome und Firefox erhĂ€ltlich.
- Sei wachsam: Sei wachsam, wenn du beim Surfen auf einer Website verdÀchtige oder unerwartete Verhaltensweisen bemerkst. Es ist immer am besten, vorsichtig zu sein und nicht auf etwas zu klicken, bei dem du dir unsicher bist.
- Halte deine Software auf dem neuesten Stand: Halte deine gesamte Software, einschlieĂlich deines Browsers und deines Betriebssystems, auf dem neuesten Stand, um dich vor bekannten SicherheitslĂŒcken zu schĂŒtzen.
Clickjacking Plugins fĂŒr WordPress
- “X-Frame-Options” ist ein einfaches Plugin, mit dem du den X-Frame-Options-Header zu deiner Website hinzufĂŒgen kannst. Dieses Plugin ist einfach zu bedienen und kann so konfiguriert werden, dass der Header auf “SAMEORIGIN” oder “DENY” gesetzt wird.
- “HTTP-Header” ist ein weiteres Plugin, mit dem du den X-Frame-Options-Header und andere Header zu deiner Website hinzufĂŒgen kannst. AuĂerdem kannst du den Header auf “SAMEORIGIN” oder “DENY” setzen.
- “All In One WP Security and Firewall” ist ein umfassendes Sicherheits-Plugin, mit dem du den X-Frame-Options-Header und viele andere Sicherheitsfunktionen hinzufĂŒgen kannst.
- “iThemes Security” ist ein weiteres umfassendes Sicherheits-Plugin, mit dem du den X-Frame-Options-Header und viele weitere Sicherheitsfunktionen hinzufĂŒgen kannst
Achtung: einige Caching-Plugins und CDN-Dienste können den Header ĂŒberschreiben. Du solltest also die Einstellungen dieser Dienste ĂŒberprĂŒfen, um sicherzustellen, dass der Header nicht ĂŒberschrieben wird.
Die Verwendung eines Plugins ist nicht die einzige Möglichkeit , den X-Frame-Options-Header hinzuzufĂŒgen. Er kann auch per .htaccess oder ĂŒber die Serverkonfiguration hinzugefĂŒgt werden.
Beispiel fĂŒr eine .htaccess fĂŒr WordPress
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# Add X-Frame-Options header
<IfModule mod_headers.c>
Header set X-Frame-Options "SAMEORIGIN"
</IfModule>
# END WordPress
Diese .htaccess-Datei enthĂ€lt die standardmĂ€Ăigen WordPress-Rewrite-Regeln, die notwendig sind, damit Permalinks korrekt funktionieren. Sie enthĂ€lt auĂerdem den Code, um den X-Frame-Options-Header mit Hilfe des Apache-Moduls mod_headers auf “SAMEORIGIN” zu setzen, was verhindert, dass die Website in einem Frame auf anderen Domains geladen wird.
Wenn du bereits eine .htaccess-Datei hast, solltest du den X-Frame-Options-Code an die bestehende Datei anhĂ€ngen, anstatt die gesamte Datei zu ersetzen. Es ist auĂerdem wichtig, dass du eine Sicherungskopie deiner ursprĂŒnglichen .htaccess-Datei anlegst, fĂŒr den Fall, dass irgendwelche Probleme auftreten.
Du solltest auch daran denken, dass einige Caching-Plugins und CDN-Dienste den Header ĂŒberschreiben können. Daher solltest du die Einstellungen dieser Dienste ĂŒberprĂŒfen, um sicherzustellen, dass der Header nicht ĂŒberschrieben wird.
Clickjacker.io
Die Website https://clickjacker.io ist eine Website, die Website-Entwicklern und Sicherheitsexperten die Technik des Clickjacking-Angriffs demonstrieren soll. Die Website ermöglicht es den Nutzern, einen Clickjacking-Angriff in einer kontrollierten Umgebung zu erleben, damit sie lernen können, wie sie diese Art von Angriffen auf ihren eigenen Websites erkennen und verhindern können. Die Website zeigt verschiedene Arten von Clickjacking-Szenarien, wie z. B. transparente Overlays und versteckte Frames, und informiert darĂŒber, wie Clickjacking verhindert werden kann, z. B. durch Frame-Busting-Techniken, den HTTP-Header X-Frame-Options und Browser-Erweiterungen.
https://clickjacker.io ist eine sichere Website und wird fĂŒr Bildungs- und Lernzwecke genutzt. Nicht alle Websites, die Clickjacking demonstrieren, sind sicher.