Clickjacking

Clickjacking, auch bekannt als “UI-Redress-Attacke”, ist eine bösartige Technik, die einen Nutzer dazu verleitet, auf eine Schaltfläche oder einen Link auf einer Webseite zu klicken, während er den Eindruck hat, dass er auf etwas anderes klickt. Dazu werden transparente Overlays verwendet oder die Schaltfläche oder der Link auf einer anderen Webseite platziert, die in einem versteckten Frame geladen wird. Der Angreifer kann dann den Klick des Nutzers nutzen, um in seinem Namen Aktionen durchzuführen, wie z. B. einen Kauf zu tätigen oder einen Kommentar zu posten. Clickjacking kann auch dazu verwendet werden, sensible Informationen wie z. B. Anmeldedaten zu stehlen. Der Angreifer kann die Clickjacking-Technik auch nutzen, um Malware zu verbreiten oder den Nutzer auf eine Phishing-Website umzuleiten. Um Clickjacking zu verhindern, können Website-Entwickler Frame-Busting-Techniken einsetzen, die verhindern, dass ihre Website in einem Frame geladen wird, oder sie können den HTTP-Header X-Frame-Options verwenden, mit dem sie einschränken können, welche Websites ihre Inhalte in einem Frame laden dürfen. Außerdem können Nutzer/innen Browsererweiterungen installieren, die Frames und Overlays blockieren, oder sie können JavaScript in ihrem Browser deaktivieren.

Clickjacking identifizieren

Es gibt mehrere Möglichkeiten, Clickjacking auf einer Website zu erkennen:

  • Achte auf Transparenz: Achte auf transparente Overlays auf der Website, die Schaltflächen oder Links verdecken können. Diese Overlays werden verwendet, um den Nutzer dazu zu verleiten, auf etwas zu klicken, dessen er sich nicht bewusst ist.
  • Überprüfe den Quellcode: Überprüfe den Quellcode der Website, um zu sehen, ob er versteckte Frames enthält. Diese Frames können dazu verwendet werden, eine andere Webseite über die sichtbare zu laden, um den Nutzer oder die Nutzerin dazu zu verleiten, auf etwas zu klicken.
  • Prüfe auf unerwartete Aktionen: Achte auf unerwartete Aktionen, die nach dem Klicken auf eine Schaltfläche oder einen Link auftreten, z. B. dass du auf eine andere Website weitergeleitet wirst oder dass automatisch etwas in deinem Namen gepostet wird.
  • Verwende Browser-Erweiterungen: Verwende Browsererweiterungen, die speziell dafür entwickelt wurden, Clickjacking-Versuche zu erkennen und zu blockieren. Diese sind für die meisten Browser wie Chrome und Firefox erhältlich.
  • Achte auf verdächtiges Verhalten: Achte auf verdächtiges oder unerwartetes Verhalten beim Surfen auf einer Website. Es ist immer am besten, vorsichtig zu sein und nicht auf etwas zu klicken, bei dem du dir unsicher bist.

Es ist wichtig zu wissen, dass manche Clickjacking-Versuche schwer zu erkennen sind. Deshalb ist es immer eine gute Idee, sich über die neuesten Sicherheitsbedrohungen auf dem Laufenden zu halten und beim Klicken auf Links oder Schaltflächen auf unbekannten Websites vorsichtig zu sein.

Clickjacking verhindern

Es gibt mehrere Möglichkeiten, Clickjacking zu vermeiden:

  • Verwende den HTTP-Header X-Frame-Options: Mit diesem Header kannst du einschränken, welche Websites deine Inhalte in einem Frame laden dürfen. Indem du den X-Frame-Options-Header auf “SAMEORIGIN” setzt, kannst du sicherstellen, dass deine Website nur in einem Frame auf derselben Domain geladen werden kann.
  • Verwende Frame-Busting-Techniken: Das sind Skripte, mit denen du verhindern kannst, dass deine Website in einem Frame geladen wird. Wenn eine Website in einem Frame geladen wird, leitet das Skript den Nutzer auf die eigentliche Website um und nicht auf die gerahmte Version.
  • Deaktiviere JavaScript: Die Deaktivierung von JavaScript in deinem Browser kann einige Clickjacking-Angriffe verhindern, da viele dieser Angriffe auf JavaScript basieren, um transparente Overlays oder versteckte Frames zu erstellen.
  • Verwende Browser-Erweiterungen: Verwende Browsererweiterungen, die speziell dafür entwickelt wurden, Clickjacking-Versuche zu erkennen und zu blockieren. Diese sind für die meisten Browser wie Chrome und Firefox erhältlich.
  • Sei wachsam: Sei wachsam, wenn du beim Surfen auf einer Website verdächtige oder unerwartete Verhaltensweisen bemerkst. Es ist immer am besten, vorsichtig zu sein und nicht auf etwas zu klicken, bei dem du dir unsicher bist.
  • Halte deine Software auf dem neuesten Stand: Halte deine gesamte Software, einschließlich deines Browsers und deines Betriebssystems, auf dem neuesten Stand, um dich vor bekannten Sicherheitslücken zu schützen.

Clickjacking Plugins für WordPress

  • X-Frame-Options” ist ein einfaches Plugin, mit dem du den X-Frame-Options-Header zu deiner Website hinzufügen kannst. Dieses Plugin ist einfach zu bedienen und kann so konfiguriert werden, dass der Header auf “SAMEORIGIN” oder “DENY” gesetzt wird.
  • HTTP-Header” ist ein weiteres Plugin, mit dem du den X-Frame-Options-Header und andere Header zu deiner Website hinzufügen kannst. Außerdem kannst du den Header auf “SAMEORIGIN” oder “DENY” setzen.
  • All In One WP Security and Firewall” ist ein umfassendes Sicherheits-Plugin, mit dem du den X-Frame-Options-Header und viele andere Sicherheitsfunktionen hinzufügen kannst.
  • iThemes Security” ist ein weiteres umfassendes Sicherheits-Plugin, mit dem du den X-Frame-Options-Header und viele weitere Sicherheitsfunktionen hinzufügen kannst

Achtung: einige Caching-Plugins und CDN-Dienste können den Header überschreiben. Du solltest also die Einstellungen dieser Dienste überprüfen, um sicherzustellen, dass der Header nicht überschrieben wird.

Die Verwendung eines Plugins ist nicht die einzige Möglichkeit , den X-Frame-Options-Header hinzuzufügen. Er kann auch per .htaccess oder über die Serverkonfiguration hinzugefügt werden.

Beispiel für eine .htaccess für WordPress

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# Add X-Frame-Options header
<IfModule mod_headers.c>
    Header set X-Frame-Options "SAMEORIGIN"
</IfModule>

# END WordPress

Diese .htaccess-Datei enthält die standardmäßigen WordPress-Rewrite-Regeln, die notwendig sind, damit Permalinks korrekt funktionieren. Sie enthält außerdem den Code, um den X-Frame-Options-Header mit Hilfe des Apache-Moduls mod_headers auf “SAMEORIGIN” zu setzen, was verhindert, dass die Website in einem Frame auf anderen Domains geladen wird.

Wenn du bereits eine .htaccess-Datei hast, solltest du den X-Frame-Options-Code an die bestehende Datei anhängen, anstatt die gesamte Datei zu ersetzen. Es ist außerdem wichtig, dass du eine Sicherungskopie deiner ursprünglichen .htaccess-Datei anlegst, für den Fall, dass irgendwelche Probleme auftreten.

Du solltest auch daran denken, dass einige Caching-Plugins und CDN-Dienste den Header überschreiben können. Daher solltest du die Einstellungen dieser Dienste überprüfen, um sicherzustellen, dass der Header nicht überschrieben wird.

Clickjacker.io

Die Website https://clickjacker.io ist eine Website, die Website-Entwicklern und Sicherheitsexperten die Technik des Clickjacking-Angriffs demonstrieren soll. Die Website ermöglicht es den Nutzern, einen Clickjacking-Angriff in einer kontrollierten Umgebung zu erleben, damit sie lernen können, wie sie diese Art von Angriffen auf ihren eigenen Websites erkennen und verhindern können. Die Website zeigt verschiedene Arten von Clickjacking-Szenarien, wie z. B. transparente Overlays und versteckte Frames, und informiert darüber, wie Clickjacking verhindert werden kann, z. B. durch Frame-Busting-Techniken, den HTTP-Header X-Frame-Options und Browser-Erweiterungen.
https://clickjacker.io ist eine sichere Website und wird für Bildungs- und Lernzwecke genutzt. Nicht alle Websites, die Clickjacking demonstrieren, sind sicher.