Wprowadzenie
Clickjacking (zwany również **UI Redress Attack**) to technika ataku webowego, w której atakujący ukrywa złośliwy przycisk lub link pod niewinnym elementem interfejsu. Użytkownik myśli, że klika w „Lubię to”, „Zaloguj się” lub „Pobierz plik”, a w rzeczywistości aktywuje niebezpieczną akcję.
Jak działa Clickjacking?
Atakujący tworzy stronę zawierającą przezroczystą ramkę (`iframe`) z prawdziwą stroną docelową (np. banku, Facebooka, Gmaila). Za pomocą CSS pozycjonuje ramkę tak, aby ważny przycisk (np. „Potwierdź przelew”) był dokładnie pod niewinnym przyciskiem na fałszywej stronie.
Rodzaje ataków Clickjacking
- Classic Clickjacking – przezroczysty iframe
- Cursorjacking – manipulacja pozycją kursora myszy
- SVG Clickjacking
- Drag & Drop Clickjacking
- Flash / Plugin-based (rzadziej używane obecnie)
Przykłady ataków
- Zmiana ustawień prywatności na Facebooku
- Potwierdzenie przelewu w bankowości internetowej
- Subskrypcja drogich usług SMS
- „Polubienie” strony bez wiedzy użytkownika
Obrona przed Clickjacking
- X-Frame-Options – nagłówek HTTP (`DENY`, `SAMEORIGIN`)
- Content Security Policy (CSP) – dyrektywa `frame-ancestors`
- Frame Busting – JavaScript sprawdzający czy strona jest w iframe
- Sandbox attribute na iframe
Aktualny stan (2026)
Mimo że technika jest znana od 2008 roku, nadal stanowi realne zagrożenie, szczególnie w połączeniu z phishingiem i social engineeringiem. Nowoczesne przeglądarki i serwery coraz lepiej chronią przed tym atakiem, ale wiele stron nadal nie implementuje odpowiednich nagłówków.
Powiązane pojęcia
XSS • CSRF • Phishing • UI Redress Attack • X-Frame-Options • Content Security Policy • Web Security • Social Engineering
Dodano: 16 maja 2026