- Регистрация
- 8 Янв 2019
- Сообщения
- 527
- Реакции
- 71
- Баллы
- 118
[SIZE=16pt]Привет, хакеры сегодня поговорим об уязвимости веб-сайтов Clickjacking[/SIZE]
[SIZE=16pt]Чем опасен Clickjacking?
Из-за него можно брать содержимое сайта и вносить его в другие сайты. Это что-то типа подмены старницы вашего сайта и
с помощью СИ заставить бедалагу юзера Кликнуть по ссылке.
X-Frame-Options в заголовке HTTP-ответа может использоваться, указывая ,разрешено ли браузеру открывать страницу в фрейме или iframe.
Для X-Frame-Options есть 3 параметра:
SAMEORIGIN:этот параметр позволяет отображать страницу в frame в том же месте,что и сама реальная страница.
DENY:предотвратит отображение страницы в frame или iframe.
ALLOW-FROM URI:а этот параметр поможет отобразить страничку только по указанному источнику(url)
Как Clickjacking пофиксить на сервере Nginx:
Заходите в папку Nginx/conf
В nginx.conf в разделе сервера добавляете:
add_header X-Frame-Options "SAMEORIGIN"
Добавляя новый заголовочный файл X-Frame-Options. Для примера я добавил SAMEORIGIN.
Далее нужно перезапустить сервер
Как сделать это на сервере apahce:
Добавляете заголовочный файл в .htaccess:[/SIZE]
[SIZE=16pt]Header always set X-Frame-Options SAMEORIGIN[/SIZE]
[SIZE=16pt]И[/SIZE] [SIZE=16pt]также[/SIZE] [SIZE=16pt]перезапускаете[/SIZE] [SIZE=16pt]сервер[/SIZE][SIZE=16pt].[/SIZE]
[SIZE=16pt]Я никого ни к чему не призываю, статья написана в ознакомительных целях![/SIZE]
[SIZE=16pt]Чем опасен Clickjacking?
Из-за него можно брать содержимое сайта и вносить его в другие сайты. Это что-то типа подмены старницы вашего сайта и
с помощью СИ заставить бедалагу юзера Кликнуть по ссылке.
X-Frame-Options в заголовке HTTP-ответа может использоваться, указывая ,разрешено ли браузеру открывать страницу в фрейме или iframe.
Для X-Frame-Options есть 3 параметра:
SAMEORIGIN:этот параметр позволяет отображать страницу в frame в том же месте,что и сама реальная страница.
DENY:предотвратит отображение страницы в frame или iframe.
ALLOW-FROM URI:а этот параметр поможет отобразить страничку только по указанному источнику(url)
Как Clickjacking пофиксить на сервере Nginx:
Заходите в папку Nginx/conf
В nginx.conf в разделе сервера добавляете:
add_header X-Frame-Options "SAMEORIGIN"
Добавляя новый заголовочный файл X-Frame-Options. Для примера я добавил SAMEORIGIN.
Далее нужно перезапустить сервер
Как сделать это на сервере apahce:
Добавляете заголовочный файл в .htaccess:[/SIZE]
[SIZE=16pt]Header always set X-Frame-Options SAMEORIGIN[/SIZE]
[SIZE=16pt]И[/SIZE] [SIZE=16pt]также[/SIZE] [SIZE=16pt]перезапускаете[/SIZE] [SIZE=16pt]сервер[/SIZE][SIZE=16pt].[/SIZE]
[SIZE=16pt]Я никого ни к чему не призываю, статья написана в ознакомительных целях![/SIZE]