جلوگیری از حملات Clickjacking

نویسنده: مریم علیزاده| دسته بندی: آموزش | نظرات: 1 نفر
جلوگیری از حملات Clickjacking
2762
16 بهمن 1396
مریم علیزاده نویسنده

در این آموزش قصد داریم در مورد روش جلوگیری از حملات Clickjacking همراه شما باشیم. این آموزش برای مدیران سرورها و افرادی که در زمینه تست نفوذ و برقراری امنیت وب فعالیت دارند میتواند مورد استفاده قرار گیرد.

 Clickjacking از آسیب پذیری های معروف وب اپلیکیشن ها میباشد. برای مثال از این آسیب پذیری برای حمله به تویتر استفاده شده است. برای دفاع در برابر حملات Clickjacking در وب سرور آپاچی خود میتوانید از گزینه X-FRAME-OPTIONS استفاده کنید تا بتوانید مانع هک وب سایت خود از طریق Clickjacking شوید.

گزینه X-Frame-Options در هدر پاسخ HTTP برای این استفاده میشود که نشان دهد آیا به یک مرورگر باید اجازه داده شود یک صفحه را در frame یا iframe باز کند یا خیر. با انجام تنظیمات لازم روی این گزینه، هیچ سایتی نمیتواند از طریق iframe محتویات سایت شما را نمایش بدهد بعبارتی اینکار مانع از جاسازی محتوای سایت در سایت های دیگر میشود.

برای تنظیمات X-Frame-Options سه گزینه وجود دارد:

SAMEORIGIN: این گزینه به یک صفحه اجازه خواهد داد در فریمی نمایش داده شود که منبع آن همان منبع صفحه میباشد.

DENY: این گزینه مانع نمایش یک صفحه در یک فریم میشود.

ALLOW-FROM uri: این گزینه به صفحه اجازه نمایش فقط در منبع مشخص شده را میدهد.

اعمال این گزینه روی وب سرور Apache

در فایل کانفیگ آپاجی که httpd.conf میباشد خط زیر را اضافه نمایید:

Header always append X-Frame-Options SAMEORIGIN

و سپس وب سرور را ریستارت نمایید.

اعمال تنظیمات در هاست اشتراکی

اگر سایت شما روی هاست اشتراکی میزبانی میشود، اجازه دستکری روی فایل httpd.conf را نخواهید داشت.  برای اعمال این تنظیمات باید خط زیر را در فایل .htaccess اضافه نمایید:

Header append X-FRAME-OPTIONS "SAMEORIGIN"

 

برای بررسی اعمال شدن تنظیمات فوق میتوانید از ابزارهای توسعه وب و یا سایت های آنلاین استفاده نمایید.

در اینجا این آموزش به پایان رسیده و امیدواریم از مطلب جلوگیری از حملات Clickjacking استفاده لازم را برده باشید.

کاربر گرامی شما می‌توانید سؤالات مربوط به این آموزش را در بخش کامنت‌ها عنوان کرده و در همین قسمت پاسخ خود را دریافت کنید.