Vandaag kregen wij een opmerking binnen van Manikandan Rajakumar. Hij had in het kader van ons security bounty programma gemerkt dat onze website gevoelig is voor clickjacking. Met clickjacking is het mogelijk om gevoelige informatie te ontfutselen of onbedoeld op ongewenste zaken te klikken.

Belangrijke informatie houd u graag voor u zelf. Helaas zijn er individuen die hun best doen om belangrijke informatie van u te verkrijgen. Dit doen ze op meerdere manieren en Clickjacing is hier 1 van. Deze blog informeert u over clickjacking, zodat u weet waar het gevaar ligt.

Wat is Clickjacking?

Clickjacking is een aanval dat een gebruiker toelaat door een element aan te klikken op een webpagina, dat onzichtbaar of vermomd is als een ander element. Dit kan leiden tot het downloaden van Malware, bezoeken van kwaadwillende websites of het onwillig verzenden van gevoelige informatie. 

Er zijn verschillende soorten van een clickjack aanval zoals: 

• Likejacking – een techniek waarin de “like button” op facebook is gemanipuleerd. Dit leidt tot het “liken” van een andere pagina dan bedoeld is. 
• Cursorjacking – een techniek waarbij de gebruiker de positie van de muiscursor op een andere plek waarneemt dan dat deze zich daadwerkelijk bevind. 

Bij Clickjacking moet u dus oppassen. Maar hoe gaat u dit tegen? Eerst is het verstandig om te begrijpen hoe het in zijn werk gaat. 

Hoe werkt het?

Wanneer een hacker een website op een soortgelijke domeinnaam heeft, dan kan deze via bijv. een iframe uw website embedden. Vervolgens legt hij een onzichtbare laag over uw website. `Waarmee hij al uw links en knoppen kan vervangen door zijn eigen links zonder dat uw bezoeker dit door heeft. Zo plaatst de hacker bijvoorbeeld een ‘Vind ik leuk’ button van Facebook om likes te verzamelen en daarmee hoger in de zoekresultaten te komen. Dit is dus een voorbeeld van Likejacking. 

Niet voor iedereen een nachtmerrie

Gelukkig zijn niet alle gegevens en dus niet alle websites interessant voor hackers. Daarom achten wij het risico voor veel domeineigenaren redelijk laag om hier slachtoffer van te worden. Natuurlijk, dergelijke hackers zijn de nachtmerrie van veel bedrijven. Je wilt voorkomen dat de gegevens van je klanten op straat liggen. Dat het geen server probleem is, biedt bedrijven geen troost.

Oplossing voor Clickjacking

Gelukkig kan dit probleem worden verholpen met een mechanisme dat browser producenten ontwikkelden. Dit werkt als volgt. De webserver geeft een speciale code (header: X-FRAME-OPTIONS) mee in elke web server response. De browser controleert of deze speciale code aanwezig is. Als dat het geval is, dan laadt de browser de pagina niet.

Oplossing van LinQhost

Zo makkelijk is het. Dit mechanisme kan geactiveerd worden om clickjacking tegen te gaan. LinQhost kan dit voor u regelen als Managed hosting relatie. Wij zullen een update uitrollen dat zich weert tegen Clickjacking. Er kunnen geen gegevens meer gestolen worden. 

Om dit mechanisme aan te activeren, hoeft u niets te doen. Wij zullen de komende twee dagen een update uitrollen zodat onze webservers altijd de X-Frame-Options SAMEORIGIN zal meegeven. Uw website is dan niet meer vatbaar om gegevens te stelen van u, uw klanten of bezoekers! Door de SAMEORIGIN parameter op te geven mag u wel vanaf uw eigen website een pagina via een iframe inladen.

 

 

Meer informatie (engels!) is te vinden op http://en.wikipedia.org/wiki/Clickjack