Web Application Security

Clickjacking – Client- und Server-Systeme vor Mausklick-Raub schützen

Seite: 3/3

Firmen zum Thema

Aktuelle Browser-Patches installieren

Im Grunde liegt die beste Lösung, um Clickjacking zu verhindern, im Browser selbst. Seine Funktionen müssten so verbessert werden, dass er versteckte iFrames und schädliche JavaScripts aufspürt und verhindert. Die meisten der großen Browser-Anbieter haben bereits damit begonnen, Mechanismen gegen Clickjacking zu integrieren.

Der Mozilla Firefox hat das Plug-In NoScript, das verhindert, dass von untrusted Domains Skripts eingeschleust werden.

Microsoft Internet Explorer 8, Apple Safari 4 und Google Chrome 2 können prüfen, ob auf einer eigebunden Seite der HTTP-Header X-FRAME-OPTIONS existiert. Webseiten-Betreiber können dann festlegen, ob die Seite beispielsweise in einem Frame dargestellt werden darf oder nicht.

Auf den Clients sollte deshalb stets der aktuellste Browser-Patch installiert sein, damit die Fortschritte der Anbieter auch für das eigene Unternehmen genutzt werden. Doch das ist nur der Anfang. Bis die Browser zuverlässig vor Clickjacking schützen, wird noch einige Zeit vergehen. Deshalb müssen IT-Verantwortliche heute erst einmal selbst die bestmögliche Vorsorge treffen. Ein 5-Punkte-Programm reduziert die Risiken.

Anti-Spam-Maßnahmen: Clickjacking beginnt damit, dass der User auf gefährliche Webseiten gelockt wird. Das geschieht in vielen Fällen über eine Spam- oder gefälschte E-Mails Der wichtigste Ansatzpunkt ist es daher, einen wirksamen Spamschutz zu installieren, um Clickjacking schon an der Quelle abzublocken.

Web Traffic filtern: Web-Filter können potenzielle Schadseiten blockieren oder User zumindest davon abhalten, gefährliche Seiten zu besuchen, die möglicherweise Clickjacking-Code beinhalten.

Webapplikationen vor Clickjacking-Scripts schützen: Web Application Firewalls (WAF) können den gesamten Website-Inhalt nach verdächtigen Scripts durchforsten und machen es Angreifern unmöglich, die Scripts auf Ihrer Webseite einzuschleusen.

Webanwendungs-Formulare schützen: WAFs können in HTTP-Formularen Nonces (Tokens) platzieren. So wird es für Angreifer fast unmöglich, Formular-Updates durchzuführen. WAFs können auch den Input von Formular-Parametern prüfen, um schädlichen Input fernzuhalten, der an die Web-Server geschickt wird.

Nutzer regelmäßig ausloggen: Webapplikationen, bei denen der User ständig eingeloggt bleiben kann – wie im Falle von Facebook – sind sehr anfällig für Clickjacking-Attacken. Deshalb sollten Anwender in regelmäßigen Abständen abgemeldet werden.

„Traue keinem Client“, lautet ein Mantra von Webprogrammierern – und Clickjacking bestätigt es: Die Attacke wird vom User nur angestoßen und läuft dann ausschließlich über den Client. Doch Maßnahmen in der Netzwerk-Infrastruktur können Clients wirksam davor schützen, überhaupt in die Falle zu laufen. „Ich sehe was, was du nicht siehst“ kann dann der Hacker dann mit sich alleine spielen.

Dr. Wieland Alge ist Geschäftsführer DACH bei Barracuda Networks.

Inhalt

  • Seite 1: Facebook – das prominenteste Clickjacking-Opfer
  • Seite 2: Ablauf einer Clickjacking-Attacke
  • Seite 3: Client- und Server-seitige Clickjacking-Killer

(ID:2046726)