Clickjacking

Também conhecido como: Ataque de redress de UI

Ataque de "UI redress" que engana o utilizador para clicar em algo diferente do que percebe, sobrepondo ou ocultando uma página-alvo dentro de uma página controlada pelo atacante.

O clickjacking incorpora uma página sensível (definições de conta, consentimento OAuth, confirmação de pagamento) num iframe num site malicioso e disfarça-a visualmente — via transparência, sobreposições CSS ou posicionamento sob botões-isca. O utilizador julga interagir com a página visível, mas os cliques, toques ou arrastes são entregues ao iframe oculto, executando ações na sessão autenticada. As variantes incluem cursorjacking, ataques de drag-and-drop e double-clickjacking. As defesas aplicam-se na página-alvo: cabeçalho X-Frame-Options ou, de preferência, Content-Security-Policy com frame-ancestors, exigir interação explícita para ações sensíveis e usar cookies SameSite.

Exemplos

Uma página convida a "clicar para ganhar" com um iframe transparente sobre o botão a apontar para um diálogo de permissões de uma rede social.
Uma sobreposição ao pixel induz o utilizador a clicar em "Aprovar" num ecrã de consentimento OAuth de uma app maliciosa.

Clickjacking

Exemplos

Termos relacionados

Tabnabbing

Cross-Site Scripting (XSS)

Cross-Site Request Forgery (CSRF)

Open Redirect

Content Security Policy (CSP)

SameSite Cookie

Definição

Exemplos

Termos relacionados

Tabnabbing

Cross-Site Scripting (XSS)

Cross-Site Request Forgery (CSRF)

Open Redirect

Content Security Policy (CSP)

SameSite Cookie