|
Բովանդակություն
•
Որոնողական համակարգերի վերաբերմունքը
•
Ռիսկեր
•
Ինչպես հայտնաբերել քլիքջեքինգը
Քլիքջեքինգը – ը (clickjacking) խարդախ տեխնոլոգիա է, երբ կայքում գործողություններ առաջացնող որոշակի թափանցիկ էլեմենտներ են ավելացվում տեսանելի էլեմենտների վրայից՝ օրինակ վիդեոյի ակտիվացում, կոճակներ: Արդյունքում, օգտատերը, առանց դա իմանալու, կատարում է մի գործողությունը, որը չեր պլանավորում: Օրինակ, գործարկում է վիդեոնյութը, բայց իրականում փորձում էր բաժանորդագրվել ինչ-որ նորությունների: Քլիքջեքինգի նպատակը կարող է լինել ցանկացած բան՝ սոցիալական ցանցերում լայքեր հավաքելու կամ հետևորդներին ձեռք բերելու քիչ թե շատ անվնաս խաբեությունից, մինչև անձնական տվյալների քողարկված ստացում և ուրիշի հաշվին գնումներ կատարելը: Ամենից հաճախ փոխազդեցությունը տեղի է ունենում սոցիալական ցանցերի միջոցով՝ լայքեր, խմբերին միացում, պրոֆիլից անձնական տվյալների գողացում:
Որոնիչների վերաբերմունքը
Yandex-ը օրինակ clickjacking-ը վերագրում է գործոններին, որոնք բացասաբար են ազդում կայքի դասակարգման վրա, քանի որ տեխնոլոգիան այս կամ այն աստիճան վնասում է օգտատերերին:
Խարդախ տեխնոլոգիայի օգտագործումը հայտնաբերելիս, որոնողական համակարգը իջեցնում է կայքի դիրքերը, քանի դեռ տեխնոլոգիան շարունակվում է կիրառվել: Փորձագետները նշում են կայքի դիրքերի անկում 20-30 կետով և բրենդային հարցումների որոնման տրաֆիկի նկատելի անկում:
Կայքի դիրքերի համար կիրառված սահմանափակումները հանվում են խնդիրը լուծելուց հետո երկու շաբաթվա ընթացքում: Հազվագյուտ դեպքերում անհրաժեշտ է լինում ավելի երկար ժամկետ: Յանդեքսում օրինակ քլիքջեքինգի համար պատժամիջոցների կիրառումը ցուցադրվում է Yandex.Webmaster-ի "անվտանգություն և խախտումներ" բաժնում:
Yandex բրաուզերում կայքը կցուցադրվի նախազգուշացումով, ինչը կարող է նկատելիորեն կազդի մարդկանց կայքին քլիքերի վրա:
Պատժամիջոցներ կիրառելու մասին որոշումը կիրառվում է միայն ընթացիկ տվյալների հիման վրա։ Այսինքն, քլիքջեքինգի մեկ ամիս առաջ չի ազդում կայքի ներկա դիրքերի վրա:
Եթե կայքում կա խարդախ կոդ, որը ակտիվ չէ պատժամիջոցներ չեն կիրառվում:
Google-ը պաշտոնապես չի իջեցնում կայքի դիրքը, բայց կայքը դուրս է մնում բառա-պատկերային Գուգլ գովազդի հարթակից և կայքի տերերը չեն կարող վաստակել կայքում գովազդ տեղադրելուց:
Ռիսկեր
Ոչ բոլոր կայքի սեփականատերերը գիտեն, որ իրենց կայքում օգտագործում է clickjacking. Այն կարող է ավելացվել աննկատելիորեն՝ անհայտ ծագման ցանկացած կոդի հետ միասին: Դեվելոփերները չեն հայտարարում, որ օգտագործում են clickjacking և կարող են արդարացնել այն որպես նպատակին հասնելու այլընտրանքային մեթոդ: Այսպիսով, օրինակ, clickjacking-ն օգտագործում է որոշ ընկերություններ, որոնք խոստանում են բարձրացնել կայքի վաճառքը՝ սոցիալական ցանցերում այցելուների պրոֆիլների նույնականացման միջոցով: Օգտատիրոջ կոնտակտները պահպանվում են համակարգում և օգտագործվում են սպամ ուղարկելու և գովազդային զանգեր կատարելու համար:
Կայքում կոդ ավելացնելու հավանություն տալիս պետք է կասկած առաջացնեն դեվելոփերի այն խոստումները, որ կոդը ավելացնելով հնարավոր կլինի.
նույնականացնել օգտատերերին սոցկայքերի հաշիվների միջոցով;
հավաքել տեղեկություններ, որը օգտատերը չի տրամադրում:
Նման ծառայություններ մատուցող ընկերությունները պարտադիր չէ, որ օգտագործեն քլիքջեքինգ, քանի որ կան նաև չարգելված տեխնոլոգիաներ, որոնք չեն խաբում օգտվողներին և չեն առաջացնում որոնողական համակարգերում վեբ կայքի դիրքերի անկում: Բայց անբարեխիղճ դեվելոփերները կարող են կիրռել քլիքջեքինգ և ներկայացնել այն որպես մեկ այլ մեթոդաբանություն: Հետեւաբար, կայքում նոր էլեմենտներ ներմուծելուց հետո ստուգեք դրանք:
Կոդը կարող է տեղադրվել (գիտակցաբար կամ ոչ) ոչ միայն կայքի սեփականատիրոջ կողմից: Դա կարող են անել նաև չարագործները՝ կոտրելով վեբ կայքը։
Ինչպես հայտնաբերել clickjacking-ը
Եթե Յանդեքսի Վեբմաստերում հաղորդագրություն է հայտնվել, որ կայքը օգտագործում է խարդախ տեխնոլոգիա, ապա անհրաժեշտ է բացահայտել վնասակար կոդ պարունակող տարրերը:
Դուք կարող եք գտնել դրանք ՝ օգտագործելով հատուկ ծրագրակազմ կամ ձեռքով:
Clickjacking Reveal - ը օրինակ Google Chrome էքստենշն է բրաուզերի համար: Կատարեք տեղադրում և գործարկեք բացելով անհրաժեշտ կայքում: Անհրաժեշտ է տեղադրել, նշված կայքում բացել դեվելոփերի գործիքները՝ Developer Tools (Ctrl + Shift + I) և թարմացնել էջը (Ctrl + F5) : Ընդլայնումը կգտնի վնասակար կոդը: Եթե վնասակար կոդն առկա է, կբացվի "Source" ներդիրը: Դրանում նշված կլինեն սկրիպտեր, որոնք օգտագործում են խաբող տեխնոլոգիան։
Քլիքջեքինգը ձեռքով հայտնաբերելու համար, պետք է բացահայտ դարձնել թաքնված էլեմենտները. Դրա համար օգտագործվում է բրաուզերի կոնսոլը: Ստուգման ժամանակ պետք է լոգին եղած լինեք ինչ-որ սոցիալական ցանցում:
Անհրաժեշտ է կատարել հետևյալ քայլերը:
1. Մուտք գործեք սոցիալական ցանց (օրինակ ՝ Vkontakte-ում):
2. Մաքրել cookies կայքից բրաուզերում:
3.Բացեք կոնսոլը (սեղմել Ctrl + Shift + I կամ Ctrl + Shift + K Mozilla Firefox-ի համար):
4. Վերբեռնեք ուսումնասիրվող էջը:
5. Կատարեք որոշ գործողություններ ՝ ձևանալով սովորական օգտագործող:
6. Ստուգեք՝ դիմում է արդյեք կայքը սոցիալական ցանցերին: Դա տեսնելու համար կոնսոլի "ցանց" ներդիրում դուք պետք է փնտրեք գրառումներ, որոնք համապատասխանում են սոցիալական ցանցի իրադարձություններին: Օրինակ Vkontakte-ի համար դա widget_auth.php - ավտորիզացիային համապատասխանող գրառումը, widget_like.php - լայքին համապատասխանող գրառումը:
7. Հաջորդը, պետք է գտնեք այն կոդը, որն առաջացնում է թաքնված տարրերի բեռնում: "Inspector" ներդիրում գտնեք կոդերի հատվածներ, որոնք մուտք են գործում Սոցիալական ցանցեր: Պետք է ստուգել ուրաքանչյուր տարր. արդյոք այն վերաբերում է տեսանելի թե թաքնված տարածքին: Դա անելու համար պարզապես պահեք մկնիկի կուրսորը կոդի տարածքի վրա և նայեք էկրանի ընդգծված հատվածին՝ երևում է էլեմենտը թե ոչ:
8. Եթե "Network" ներդիրում կա սոցցանցերին հղում, իսկ "Inspector" անհնար է գտնել կոդի այն էլեմենտը որը ակտիվացնում է կոդը, ապա դա քլիքջեքինգ է:
9. Վնասակար կոդը կարելի է հայտնաբերել նաև հաջորդաբար հեռացնելով կասկածելի էլեմենտները և ստուգելով, թե արդյոք սոցցանցերին դիմելը չի վերացել: Հատուկ ուշադրություն պետք է դարձնել script, iframe և object էլեմենտների կիրառմանը:
Հայտնաբերելուց հետո վնասակար կոդը պետք է հեռացել՝ նախապես պահպանելով կայքի կրկնօրինակը, որպեսզի պատահաբար չխաթարվի ճիշտ և անվտանգ տարրերի աշխատանքը:
Clickjacking կոդը վերացնելուց հետո մուտք գործեք Yandex Webmaster-ի "անվտանգություն և խախտումներ" բաժին և քլիք արեք "ամեն ինչ շտկեցի" կոճակին, որպեսզի որոնողական համակարգը կրկնակի ստուգումն ավելի արագ կատարի:
|
