Wprowadzenie
<strong>Clickjacking</strong> (zwany również **UI Redress Attack**) to technika ataku webowego, w której atakujący ukrywa złośliwy przycisk lub link pod niewinnym elementem interfejsu. Użytkownik myśli, że klika w „Lubię to”, „Zaloguj się” lub „Pobierz plik”, a w rzeczywistości aktywuje niebezpieczną akcję.
Jak działa Clickjacking?
Atakujący tworzy stronę zawierającą przezroczystą ramkę (`iframe`) z prawdziwą stroną docelową (np. banku, Facebooka, Gmaila). Za pomocą CSS pozycjonuje ramkę tak, aby ważny przycisk (np. „Potwierdź przelew”) był dokładnie pod niewinnym przyciskiem na fałszywej stronie.
Rodzaje ataków Clickjacking
- <strong>Classic Clickjacking</strong> – przezroczysty iframe
- <strong>Cursorjacking</strong> – manipulacja pozycją kursora myszy
- <strong>SVG Clickjacking</strong>
- <strong>Drag & Drop Clickjacking</strong>
- <strong>Flash / Plugin-based</strong> (rzadziej używane obecnie)
Przykłady ataków
- Zmiana ustawień prywatności na Facebooku
- Potwierdzenie przelewu w bankowości internetowej
- Subskrypcja drogich usług SMS
- „Polubienie” strony bez wiedzy użytkownika
Obrona przed Clickjacking
- <strong>X-Frame-Options</strong> – nagłówek HTTP (`DENY`, `SAMEORIGIN`)
- <strong>Content Security Policy (CSP)</strong> – dyrektywa `frame-ancestors`
- <strong>Frame Busting</strong> – JavaScript sprawdzający czy strona jest w iframe
- <strong>Sandbox attribute</strong> na iframe
Aktualny stan (2026)
Mimo że technika jest znana od 2008 roku, nadal stanowi realne zagrożenie, szczególnie w połączeniu z phishingiem i social engineeringiem. Nowoczesne przeglądarki i serwery coraz lepiej chronią przed tym atakiem, ale wiele stron nadal nie implementuje odpowiednich nagłówków.
Powiązane pojęcia
Dodano: 16 maja 2026