Что такое Кликджекинг (Clickjacking)? Значение, определение и примеры

Что такое Кликджекинг (Clickjacking)?

Кликджекинг (Clickjacking)UI-redress-атака, при которой пользователя обманом заставляют кликнуть не по тому, что он видит, накладывая или скрывая целевую страницу внутри страницы атакующего.

Кликджекинг встраивает чувствительную страницу (например, настройки аккаунта, OAuth-согласие, подтверждение платежа) в iframe на вредоносном сайте и визуально маскирует её — часто за счёт прозрачности, аккуратных CSS-наложений или стратегического позиционирования под кнопками-обманками. Пользователь думает, что взаимодействует с видимой страницей, тогда как его клики, касания или перетаскивания фактически доставляются в скрытый iframe и выполняют действия в его аутентифицированной сессии.

Термин был введён в 2008 году Джеремайей Гроссманом (Jeremiah Grossman) и Робертом Хансеном (Robert Hansen), которые продемонстрировали встраивание менеджера настроек Adobe Flash, чтобы незаметно включить веб-камеру и микрофон жертвы. Появившаяся в ответ защита — заголовок X-Frame-Options — была стандартизирована как RFC 7034 (2013) и с тех пор вытеснена директивой frame-ancestors в Content-Security-Policy, которая более гранулярна и поддерживает несколько разрешённых источников. Варианты продолжают развиваться: cursorjacking, кража данных через drag-and-drop и likejacking. В конце 2024 года исследователь Paulos Yibelo опубликовал «DoubleClickjacking», эксплуатирующий промежуток между двумя событиями двойного клика для подмены нижележащей страницы после первого клика, обходя X-Frame-Options, frame-ancestors и cookie SameSite, поскольку в момент клика никакого кросс-сайтового фрейма фактически нет.

Защита сочетает контроль встраивания (frame-ancestors 'self' или явный allowlist), требование явного жеста и подтверждения пользователя для чувствительных действий, отключение кнопок до истечения небольшой задержки после получения фокуса, а также cookie SameSite для ограничения кросс-контекстного состояния.

flowchart TD
  A[Жертва заходит на<br/>страницу атакующего] --> B[Обманный интерфейс:<br/>«Кликни, чтобы выиграть»]
  B --> C[Невидимый iframe загружает<br/>настоящий целевой сайт]
  C --> D[Жертва авторизована<br/>на целевом сайте]
  B --> E[Прозрачное наложение<br/>совмещает скрытую кнопку]
  E --> F[Жертва кликает по обманке]
  F --> G[Клик попадает на скрытую<br/>кнопку «Одобрить»]
  G --> H[Действие выполняется в<br/>сессии жертвы]

● Примеры

Страница «Нажмите, чтобы выиграть» поверх кнопки удерживает прозрачный iframe с диалогом выдачи прав соцсети.

Пиксельно точное наложение заставляет пользователя нажать «Одобрить» на экране OAuth-согласия приложения злоумышленника.

● Частые вопросы

Что такое Кликджекинг (Clickjacking)?

UI-redress-атака, при которой пользователя обманом заставляют кликнуть не по тому, что он видит, накладывая или скрывая целевую страницу внутри страницы атакующего. Относится к категории Атаки и угрозы в кибербезопасности.

Что означает Кликджекинг (Clickjacking)?

UI-redress-атака, при которой пользователя обманом заставляют кликнуть не по тому, что он видит, накладывая или скрывая целевую страницу внутри страницы атакующего.

Как защититься от Кликджекинг (Clickjacking)?

Защита от Кликджекинг (Clickjacking) обычно сочетает технические меры и операционные практики, как описано в определении выше.

Какие есть другие названия Кликджекинг (Clickjacking)?

Распространённые альтернативные названия: UI redress.

Кликджекинг (Clickjacking)