Clickjacking

Attaque "UI redress" qui pousse l'utilisateur à cliquer sur autre chose que ce qu'il croit voir, en superposant ou en cachant une page cible dans une page contrôlée par l'attaquant.

Le clickjacking embarque une page sensible (paramètres de compte, consentement OAuth, confirmation de paiement) dans une iframe sur un site malveillant et la masque visuellement — transparence, superpositions CSS, positionnement sous des boutons leurres. L'utilisateur croit interagir avec la page visible, mais ses clics, taps ou glissés sont en réalité reçus par l'iframe cachée, effectuant des actions dans sa session authentifiée. Les variantes incluent le cursorjacking, les attaques par drag-and-drop et le double clickjacking. Les défenses sont côté serveur sur la page cible : en-tête X-Frame-Options ou, de préférence, Content-Security-Policy avec frame-ancestors, demande d'interaction explicite pour les actions sensibles et cookies SameSite.

Exemples

Une page invite à "cliquer pour gagner" tandis qu'une iframe transparente recouvre le bouton et pointe vers une boîte de dialogue de permission d'un réseau social.

Une superposition au pixel près incite l'utilisateur à cliquer "Approuver" sur l'écran de consentement OAuth d'une app malveillante.

Exemples

Termes liés

Tabnabbing

Cross-Site Scripting (XSS)

Cross-Site Request Forgery (CSRF)

Open Redirect

Content Security Policy (CSP)

SameSite Cookie

Définition

Exemples

Termes liés

Tabnabbing

Cross-Site Scripting (XSS)

Cross-Site Request Forgery (CSRF)

Open Redirect

Content Security Policy (CSP)

SameSite Cookie