Clickjacking

Auch bekannt als: UI-Redress-Angriff

UI-Redress-Angriff, der Nutzer dazu bringt, etwas anderes anzuklicken als sie wahrnehmen, indem eine Zielseite in einer Angreifer-Seite überlagert oder versteckt wird.

Clickjacking bettet eine sensible Seite (z. B. Kontoeinstellungen, OAuth-Consent, Zahlungsbestätigung) per iframe in eine bösartige Seite ein und tarnt sie optisch — via Transparenz, sorgfältig gestaltete CSS-Overlays oder Positionierung unter Köderbuttons. Der Nutzer glaubt mit der sichtbaren Seite zu interagieren, tatsächlich landen Klicks, Taps oder Drags im versteckten Frame und führen Aktionen in seiner authentifizierten Sitzung aus. Varianten sind Cursorjacking, Drag-and-Drop-Angriffe und Double-Clickjacking. Abwehr erfolgt serverseitig auf der Zielseite: X-Frame-Options oder besser Content-Security-Policy mit frame-ancestors, zusätzliche Benutzerinteraktion für sensible Aktionen und SameSite-Cookies.

Beispiele

Eine Seite fordert "Klick hier zum Gewinnen", ein transparenter iframe über dem Button verweist auf einen Social-Network-Berechtigungsdialog.
Pixelgenaues Overlay verleitet den Nutzer dazu, "Zustimmen" in einem OAuth-Consent-Screen einer Angreifer-App zu klicken.

Clickjacking

Beispiele

Verwandte Begriffe

Tabnabbing

Cross-Site-Scripting (XSS)

Cross-Site-Request-Forgery (CSRF)

Open Redirect

Content Security Policy (CSP)

SameSite Cookie

Definition

Beispiele

Verwandte Begriffe

Tabnabbing

Cross-Site-Scripting (XSS)

Cross-Site-Request-Forgery (CSRF)

Open Redirect

Content Security Policy (CSP)

SameSite Cookie