• مشکی
  • سفید
  • سبز
  • آبی
  • قرمز
  • نارنجی
  • بنفش
  • طلایی
ارتباطات و فن آوری اطلاعات (بازدید: 438)
سه شنبه 22/1/1391 - 2:59 -0 تشکر 445192
آشنایی با مشهورترین روش هكرها

 

پایگاه‌های اینترنتی مشهور که روی سرورهای مشهور و ایمن بارگذاری شده‌اند کم‌تر مورد این گونه حملات قرار می‌گیرند. از همین‌رو استفاده از سایت‌های ناآشنا و یا مشکوک می‌تواند ریسک گرفتار شدن به دام ClickJacking را افزایش دهد.
هر روز هزاران رایانه به بدافزار آلوده می‌شود اما نه از یک راه. ClickJacking یکی از روش‌هایی است که نفوذگران و ویروس‌نویسان برای رسیدن به اهداف خود از آن بهره می‌برند که در طی چند سال گذشته شیوع بیشتری یافته است و در سال 2012 به یکی از روش‌های محبوب نفوذ تبدیل شده است.
در روش ClickJacking کاربر از یکی از شاخه‌های Cross-site بهره می‌گیرد. در این روش کاربر به ظاهر روی یک دکمه یا لینک کلیک می‌کند اما در نهایت عملی دیگر انجام می‌پذیرد و یا کاربر به‌طور ناخواسته به سایت دیگری هدایت می‌شود. در روش ClickJacking کاربر با کلیک روی دکمه‌های نامرئی، مجوزی صادر می‌کند که خود از آن بی‌اطلاع است. در این روش نفوذگر از ضعف مرورگر بهره می‌برد چرا که هر سایتی می‌تواند قربانی این روش شود و لزومی ندارد که کاربر به آن سایت اعتماد داشته باشد یا نه.


صفحات وب به‌طور عمومی به وسیله کدهای HTML نوشته می‌شوند. کدهای HTML خود مخرب نیستند اما می‌توانند شرایط را برای اجرای یک کد مخرب JavaScript ایجاد کنند. به این ترتیب که پس از بارگذاری سایت و نمایش همه المان‌ها، صفحه نامرئی دیگری روی صفحه بارگذاری می‌شود. این صفحه نامرئی باعث پاک شدن تصاویر صفحه اصلی نمی‌شود و می‌تواند همه صفحه زیرین و یا بخشی از آن را بپوشاند.


اگر چه نفوذگران معمولا قسمت‌های جذاب صفحه را انتخاب می‌کنند و بقیه صفحه را دست نخورده باقی می‌گذارند اما نمی‌توان به درستی دریافت که از چه روشی برای این کار استفاده می‌کنند و کیفیت آن چگونه است.
در بسیاری از سایت‌ها این صفحه نامرئی با اولین کلیک کاربر روی سایت فعالیت خود را انجام داده و بلافاصله حذف می‌شود. یکی از دلایل مرسوم باز شدن صفحات تبلیغاتی، کلیک روی همین صفحه نامرئی است.
مرسوم‌ترین و ساده‌ترین روش کلیک دزدی، استفاده از نمایشگرهای ویدئو در صفحات وب است. در بعضی از سایت‌ها یک Video بارگذاری می‌شود و به ظاهر دکمه Play تنها به یک کلیک کاربر نیاز دارد تا فایل شروع به پخش شدن کند اما درست بعد از بارگذاری صفحه اصلی، یک صفحه نامرئی ر

وی آن قرار می‌گیرد و کاربر پس از کلیک روی دکمه Play دکمه نامرئی را فشار می‌دهد و دستورات دیگری را اجرا می‌کند.
مرسوم‌ترین اتفاقی که پس از کلیک کردن روی یکی از این دکمه‌ها رخ می‌دهد، هدایت شدن به یک صفحه دیگر در اینترنت است اما با همین روش می‌توان حساب کاربری و یا بانکی کاربر را نیز سرقت کرد و یا به وب‌کم و میکروفون او دسترسی یافت. البته این تنها نمونه‌ای از یک ClickJacking است اما باید به این نکته توجه کرد که ClickJacking با مهندسی اجتماعی گره خورده است و سعی می‌کند از سوژه‌های جذاب و فریبنده برای مجبور کردن کاربر به کلیک روی دکمه نامرئی بهره ببرد.
همان‌گونه که گفته شد، ضعف امنیتی مرورگرها به اضافه ضعف امنیتی سرویس‌دهنده‌های اینترنتی دلیل اصلی استفاده نفوذگران از روش ClickJacking یا کلیک دزدی است اما کاربران نیز می‌توانند با اتخاذ رویه‌های امنیتی از افتادن در دام این کلیک دزدها در امان بمانند.


تا به امروز هیچ مرورگری به هیچ ابزاری برای جلوگیری از ClickJacking مجهز نشده است. اگر چه این نکته یکی از نگرانی‌های سازندگان مرورگرها است اما روش نفوذ به هر مرورگری متفاوت است و طبیعی است که مرورگرهای محبوب‌تر بیشتر در خطر قرار دارند. مرورگر فایرفاکس تنها مرورگری است که می‌تواند با استفاده از یک Add on در مقابل ClickJacking ایمن شود.
به گزارش مشرق، البته اگر این ابزار را روی فایرفاکس نصب نکنید، این مرورگر می‌تواند کاملا مورد علاقه نفوذگران باشد. NoScript نام این افزونه امنیتی است و در صورتی که یک سایت مورد حمله ClickJacking قرار گرفته باشد با نمایش عبارت redressed به کاربر اخطار می‌دهد. البته نگاه کردن به سایت و مطالعه متون آن بی‌خطر است اما کلیک کردن روی هر نقطه از یک سایت redressed شده یک ریسک واقعی است.


مایکروسافت برای حفاظت از مرورگر خود یک روش وب‌نویسی ایجاد کرده است که به کاربران IE در مورد ClickJacking اخطار می‌دهد اما این روش یک حفاظت نصفه و نیمه است و نمی‌توان همیشه به آن اعتماد کرد. اگر چه Safari و Chrome نیز از همین روش برای مقابله با ClickJacking استفاده می‌کنند.


پایگاه‌های اینترنتی مشهور که روی سرورهای مشهور و ایمن بارگذاری شده‌اند کم‌تر مورد این گونه حملات قرار می‌گیرند. از همین‌رو استفاده از سایت‌های ناآشنا و یا مشکوک می‌تواند ریسک گرفتار شدن به دام ClickJacking را افزایش دهد.
خودداری از کلیک روی هر لینک یا تصویر جذابی نیمی از امنیت است که نه تنها ClickJacking را کم اثر می‌کند بلکه شما را در برابر روش‌های مهندسی اجتماعی نیز ایمن خواهد کرد.

سه شنبه 22/1/1391 - 11:46 - 0 تشکر 445249

با سلام


مقاله جالبی بود. فقط راه مقابله با این روش هکرها چیست؟ آیا میشه گفت که سایتهایی که محتوای خوبی ندارن یا سایتهای پر طرفدار، میتونن ما رو طعمه این روش کنن؟



خدا در همین نزدیکی است
برو به انجمن
انجمن فعال در هفته گذشته
مدیر فعال در هفته گذشته
آخرین مطالب
  • آلبوم تصاویر بازدید از کلیسای جلفای...
    آلبوم تصاویر بازدید اعضای انجمن نصف جهان از کلیسای جلفای اصفهان.
  • بازدید از زیباترین کلیسای جلفای اصفهان
    جمعی از کاربران انجمن نصف جهان، در روز 27 مردادماه با همکاری دفتر تبیان اصفهان، بازدیدی را از کلیسای وانک، به عمل آورده‌اند. این کلیسا، یکی از کلیساهای تاریخی اصفهان به شمار می‌رود.
  • اعضای انجمن در خانه شهید بهشتی
    خانه پدری آیت الله دکتر بهشتی در اصفهان، امروزه به نام موزه و خانه فرهنگ شهید نام‌گذاری شده است. اعضای انجمن نصف جهان، در بازدید دیگر خود، قدم به خانه شهید بهشتی گذاشته‌اند.
  • اطلاعیه برندگان جشنواره انجمن‌ها
    پس از دو ماه رقابت فشرده بین کاربران فعال انجمن‌ها، جشنواره تابستان 92 با برگزاری 5 مسابقه متنوع در تاریخ 15 مهرماه به پایان رسید و هم‌اینک، زمان اعلام برندگان نهایی این مسابقات فرارسیده است.
  • نصف جهانی‌ها در مقبره علامه مجلسی
    اعضای انجمن نصف جهان، در یك گردهمایی دیگر، از آرامگاه علامه مجلسی و میدان احیا شده‌ی امام علی (ع) اصفهان، بازدیدی را به عمل آوردند.