Clickjacking

Clickjacking, auch bekannt als “UI-Redress-Attacke”, ist eine b√∂sartige Technik, die einen Nutzer dazu verleitet, auf eine Schaltfl√§che oder einen Link auf einer Webseite zu klicken, w√§hrend er den Eindruck hat, dass er auf etwas anderes klickt. Dazu werden transparente Overlays verwendet oder die Schaltfl√§che oder der Link auf einer anderen Webseite platziert, die in einem versteckten Frame geladen wird. Der Angreifer kann dann den Klick des Nutzers nutzen, um in seinem Namen Aktionen durchzuf√ľhren, wie z. B. einen Kauf zu t√§tigen oder einen Kommentar zu posten. Clickjacking kann auch dazu verwendet werden, sensible Informationen wie z. B. Anmeldedaten zu stehlen. Der Angreifer kann die Clickjacking-Technik auch nutzen, um Malware zu verbreiten oder den Nutzer auf eine Phishing-Website umzuleiten. Um Clickjacking zu verhindern, k√∂nnen Website-Entwickler Frame-Busting-Techniken einsetzen, die verhindern, dass ihre Website in einem Frame geladen wird, oder sie k√∂nnen den HTTP-Header X-Frame-Options verwenden, mit dem sie einschr√§nken k√∂nnen, welche Websites ihre Inhalte in einem Frame laden d√ľrfen. Au√üerdem k√∂nnen Nutzer/innen Browsererweiterungen installieren, die Frames und Overlays blockieren, oder sie k√∂nnen JavaScript in ihrem Browser deaktivieren.

Clickjacking identifizieren

Es gibt mehrere Möglichkeiten, Clickjacking auf einer Website zu erkennen:

  • Achte auf Transparenz: Achte auf transparente Overlays auf der Website, die Schaltfl√§chen oder Links verdecken k√∂nnen. Diese Overlays werden verwendet, um den Nutzer dazu zu verleiten, auf etwas zu klicken, dessen er sich nicht bewusst ist.
  • √úberpr√ľfe den Quellcode: √úberpr√ľfe den Quellcode der Website, um zu sehen, ob er versteckte Frames enth√§lt. Diese Frames k√∂nnen dazu verwendet werden, eine andere Webseite √ľber die sichtbare zu laden, um den Nutzer oder die Nutzerin dazu zu verleiten, auf etwas zu klicken.
  • Pr√ľfe auf unerwartete Aktionen: Achte auf unerwartete Aktionen, die nach dem Klicken auf eine Schaltfl√§che oder einen Link auftreten, z. B. dass du auf eine andere Website weitergeleitet wirst oder dass automatisch etwas in deinem Namen gepostet wird.
  • Verwende Browser-Erweiterungen: Verwende Browsererweiterungen, die speziell daf√ľr entwickelt wurden, Clickjacking-Versuche zu erkennen und zu blockieren. Diese sind f√ľr die meisten Browser wie Chrome und Firefox erh√§ltlich.
  • Achte auf verd√§chtiges Verhalten: Achte auf verd√§chtiges oder unerwartetes Verhalten beim Surfen auf einer Website. Es ist immer am besten, vorsichtig zu sein und nicht auf etwas zu klicken, bei dem du dir unsicher bist.

Es ist wichtig zu wissen, dass manche Clickjacking-Versuche schwer zu erkennen sind. Deshalb ist es immer eine gute Idee, sich √ľber die neuesten Sicherheitsbedrohungen auf dem Laufenden zu halten und beim Klicken auf Links oder Schaltfl√§chen auf unbekannten Websites vorsichtig zu sein.

Clickjacking verhindern

Es gibt mehrere Möglichkeiten, Clickjacking zu vermeiden:

  • Verwende den HTTP-Header X-Frame-Options: Mit diesem Header kannst du einschr√§nken, welche Websites deine Inhalte in einem Frame laden d√ľrfen. Indem du den X-Frame-Options-Header auf “SAMEORIGIN” setzt, kannst du sicherstellen, dass deine Website nur in einem Frame auf derselben Domain geladen werden kann.
  • Verwende Frame-Busting-Techniken: Das sind Skripte, mit denen du verhindern kannst, dass deine Website in einem Frame geladen wird. Wenn eine Website in einem Frame geladen wird, leitet das Skript den Nutzer auf die eigentliche Website um und nicht auf die gerahmte Version.
  • Deaktiviere JavaScript: Die Deaktivierung von JavaScript in deinem Browser kann einige Clickjacking-Angriffe verhindern, da viele dieser Angriffe auf JavaScript basieren, um transparente Overlays oder versteckte Frames zu erstellen.
  • Verwende Browser-Erweiterungen: Verwende Browsererweiterungen, die speziell daf√ľr entwickelt wurden, Clickjacking-Versuche zu erkennen und zu blockieren. Diese sind f√ľr die meisten Browser wie Chrome und Firefox erh√§ltlich.
  • Sei wachsam: Sei wachsam, wenn du beim Surfen auf einer Website verd√§chtige oder unerwartete Verhaltensweisen bemerkst. Es ist immer am besten, vorsichtig zu sein und nicht auf etwas zu klicken, bei dem du dir unsicher bist.
  • Halte deine Software auf dem neuesten Stand: Halte deine gesamte Software, einschlie√ülich deines Browsers und deines Betriebssystems, auf dem neuesten Stand, um dich vor bekannten Sicherheitsl√ľcken zu sch√ľtzen.

Clickjacking Plugins f√ľr WordPress

  • X-Frame-Options” ist ein einfaches Plugin, mit dem du den X-Frame-Options-Header zu deiner Website hinzuf√ľgen kannst. Dieses Plugin ist einfach zu bedienen und kann so konfiguriert werden, dass der Header auf “SAMEORIGIN” oder “DENY” gesetzt wird.
  • HTTP-Header” ist ein weiteres Plugin, mit dem du den X-Frame-Options-Header und andere Header zu deiner Website hinzuf√ľgen kannst. Au√üerdem kannst du den Header auf “SAMEORIGIN” oder “DENY” setzen.
  • All In One WP Security and Firewall” ist ein umfassendes Sicherheits-Plugin, mit dem du den X-Frame-Options-Header und viele andere Sicherheitsfunktionen hinzuf√ľgen kannst.
  • iThemes Security” ist ein weiteres umfassendes Sicherheits-Plugin, mit dem du den X-Frame-Options-Header und viele weitere Sicherheitsfunktionen hinzuf√ľgen kannst

Achtung: einige Caching-Plugins und CDN-Dienste k√∂nnen den Header √ľberschreiben. Du solltest also die Einstellungen dieser Dienste √ľberpr√ľfen, um sicherzustellen, dass der Header nicht √ľberschrieben wird.

Die Verwendung eines Plugins ist nicht die einzige M√∂glichkeit , den X-Frame-Options-Header hinzuzuf√ľgen. Er kann auch per .htaccess oder √ľber die Serverkonfiguration hinzugef√ľgt werden.

Beispiel f√ľr eine .htaccess f√ľr WordPress

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# Add X-Frame-Options header
<IfModule mod_headers.c>
    Header set X-Frame-Options "SAMEORIGIN"
</IfModule>

# END WordPress

Diese .htaccess-Datei enth√§lt die standardm√§√üigen WordPress-Rewrite-Regeln, die notwendig sind, damit Permalinks korrekt funktionieren. Sie enth√§lt au√üerdem den Code, um den X-Frame-Options-Header mit Hilfe des Apache-Moduls mod_headers auf “SAMEORIGIN” zu setzen, was verhindert, dass die Website in einem Frame auf anderen Domains geladen wird.

Wenn du bereits eine .htaccess-Datei hast, solltest du den X-Frame-Options-Code an die bestehende Datei anh√§ngen, anstatt die gesamte Datei zu ersetzen. Es ist au√üerdem wichtig, dass du eine Sicherungskopie deiner urspr√ľnglichen .htaccess-Datei anlegst, f√ľr den Fall, dass irgendwelche Probleme auftreten.

Du solltest auch daran denken, dass einige Caching-Plugins und CDN-Dienste den Header √ľberschreiben k√∂nnen. Daher solltest du die Einstellungen dieser Dienste √ľberpr√ľfen, um sicherzustellen, dass der Header nicht √ľberschrieben wird.

Clickjacker.io

Die Website https://clickjacker.io ist eine Website, die Website-Entwicklern und Sicherheitsexperten die Technik des Clickjacking-Angriffs demonstrieren soll. Die Website erm√∂glicht es den Nutzern, einen Clickjacking-Angriff in einer kontrollierten Umgebung zu erleben, damit sie lernen k√∂nnen, wie sie diese Art von Angriffen auf ihren eigenen Websites erkennen und verhindern k√∂nnen. Die Website zeigt verschiedene Arten von Clickjacking-Szenarien, wie z. B. transparente Overlays und versteckte Frames, und informiert dar√ľber, wie Clickjacking verhindert werden kann, z. B. durch Frame-Busting-Techniken, den HTTP-Header X-Frame-Options und Browser-Erweiterungen.
https://clickjacker.io ist eine sichere Website und wird f√ľr Bildungs- und Lernzwecke genutzt. Nicht alle Websites, die Clickjacking demonstrieren, sind sicher.