Как проверить сайт на кликджекинг


как проверить и не попасть под санкции?

Как говорят, знал бы прикуп, жил бы в Сочи. Однако это уже будет не красивая игра, а мухлеж с краплением карт. К чему все это? Да все просто. Каждый бизнесмен не откажется узнать ценную информацию о своих потенциальных клиентах, которую можно будет использовать для повышения продаж. Скажем, профиль ВКонтакте, телефон, почту или что-то еще.

Но далеко не каждый посетитель согласится оставить такую информацию о себе. И тут на помощь предпринимателям всегда готовы прийти сторонние сервисы по получению информации. Как оказывается, не все такие методы работы с клиентами в глазах поисковых систем, а в частности Яндекса, законны.

Не хочет клиент оставлять вам данные – силой их брать не стоит (и обманом тоже). Эти действия называются страшно красивым словом «кликджекинг», они караются санкциями с понижением позиций в органике.

Яндекс порадовал мир санкциями за серые методы выуживания информации у посетителей сайта (именно это и называется кликджекингом) еще в декабре 2015 года. Вскользь об этой технологии мы уже писали.

Но, как показывает практика, до сих пор далеко не все владельцы сайтов знают, что такое кликджекинг и как он может навредить сайту. Что ж, давайте разбираться, что это такое, чем опасно, как проверить и с какими сервисами лучше не дружить.

  • Что такое кликджекинг?

    Цитирую, как написано в Яндекс.Блоге для вебмастеров: «Кликджекинг – механизм обмана, связанный с размещением на сайте невидимых элементов, взаимодействие с которыми пользователь осуществляет, не подозревая этого».

    Что значит «невидимые элементы» – это такие элементы, которые невозможно увидеть на сайте, скажем, потому что они расположены на специальном прозрачном слое, поверх основных, видимых деталей сайта. Обычно поверх кнопок, форм, видеороликов. Т.е. там, где пользователи предположительно будут взаимодействовать с сайтом. Нажимает пользователь на видеоролик, а на самом деле попутно тыкает на кнопку «соглашаюсь поделиться информацией о себе» – ну это если утрированно объяснять.

  • Чем опасен кликджекинг?

    Как таковая технология кликджекинга для сайта не опасна. Ну стоит код, который подгружает данные о пользователях, самому сайту от этого ни холодно ни жарко. Проблема не в коде, проблема в том, что с таким поведением активно борется Яндекс. За кликджекинг предусмотрены санкции с понижением позиций от 20 – 30 пунктов и более.

    Примечательно то, что в настоящее время вебмастера не получают уведомлений о том, что на сайте используется запрещенная технология и за это могут быть наложены санкции. Поставил ты себе код какого-нибудь новомодного счетчика в маркетинговых целях, сайт оказывается под санкциями, а ты и не догадываешься об этом.

    Как говорят яндексовцы, в ближайшее время появится такое предупреждение, но пока только постфактум вы можете получить сообщение с ай-яй-яй о применении к сайту санкций за установку и использование запрещенного кода.

    Как оказывается, несмотря на значительный срок существования санкций, часть собственников до сих пор не знают, что это такое. Подтверждение тому – небольшой опрос, который мы провели на днях в группе (на фото фрагмент поста, где видны результаты голосования)

     

  • Что принимают за кликджекинг?

    Пользователи не до конца разбираются в том, что за зверь этот кликджекинг. Поэтому на практике возникает много вопросов. Даже если посмотреть на скрин выше (там речь идет о коде для ретаргетинга из ВКонтакте, который устанавливается на сайте), видно, что мнения разделились. И часть людей считают это кликджекингом. Чисто теоретически код для ретаргетинга из ВКонтакте вполне можно отнести к кликджекингу. Но пока прецедентов не случалось.

    Таргетированная реклама по коду из соцсетей, как я уже писала, – это, пожалуй, самый волнующий вопрос, да оно и понятно. Если рассматривать принцип работы, то он вполне вписывается в схему кликджекинга. Смотрите сами: вы ставите код на сайт, пользователь заходит, смотрит нужные разделы, в это время система подхватывают о нем информацию и собирают его в специальные базы. После чего за пользователем начинает гоняться реклама холодильника, ну или что он там смотрел.

    Яндекс напрямую ничего не говорит про код из ВК:

    Судя по всему, код ретаргетинга может рассматриваться как кликджекинг, но, скорее всего, для него сделано исключение.

    С этим же вопросом я обратилась в службу поддержки ВКонтакте.

    Что делать? Использовать спокойно, пока санкций за это не замечено.

    Что еще может быть под подозрением:

    • Социальный замок. Если кто не знает, суть такая: часть контента на странице закрыта специальным кодом. Чтобы посмотреть, что там такого интересного спрятали, надо поделиться сообщением в своих социальных сетях.

      Конечно, это отнести к кликджекингу нельзя, ведь посетитель сразу видит условия и сам принимает решение, делиться информацией или нет. Да и потом, система не собирает данные о пользователях, вы просто улучшаете шаринг своего контента, не совершая ничего незаконного. Использовать можно.

    • Форма подписки (когда на сайте открывается поп-ап и большая часть контента скрыта) – такие способы собрать информацию о пользователе также вызвали сомнения в честности. Однако напрасно, нет в них ничего запрещенного.

      Всплывающее окно видно, его практически всегда легко закрыть. Пользователь видит форму и сам принимает решение, что делать: оставить контактные данные или закрыть форму и смотреть контент.

      У всплывающего окна могут быть несколько другие проблемы: мешает и раздражает, сложно найти кнопку, чтобы закрыть, всплывает несколько раз. Но это не относится к кликджекингу. Использовать можно.

    • Активный фон сайта (здесь речь идет о том, что пользователь случайно может кликнуть не на ту кнопку или перепутать элементы). Также к кликджекингу не относится, хотя и очень похоже.

      Здесь больше вопросы к юзабилити и удобству сайта. Делайте все гармонично, смотрите, чтобы пользователям было комфортно и интуитивно просто на вашем сайте. Не обманывайте, пусть покупка будет желанной, а не случайной (чтобы гаденького осадочка не осталось). Но в целом лучше не использовать.

    • Push-рассылки. Кто не знает – это небольшие сообщения, которые появляются во всплывающем окне при просмотре сайта. Своего рода альтернатива рассылкам. К кликджекингу отношения не имеет, поскольку сообщения будут показываться только после того, как вы согласитесь их просматривать.

      Никаких данных в этих случаях о пользователе не собирается дополнительно. К минусам, разве что назойливость можно отметить. Использовать можно, но не для всех тематик подойдет.

    Страхи и мифы мы рассмотрели. Теперь коротко скажу, чего стоит опасаться.

    Итак, если код, который вы ставите на сайт, будет получать от пользователей данные, которые они самостоятельно не предоставляют (телефон, почту и т.д.), провоцировать действия, которые пользователи не планировали делать и все в таком духе – здесь можно бить в колокола и срочно удалять такие системы увеличения продаж с сайта. В противном случае слетите в органике по всем направлениям.

  • Каких сервисов точно стоит опасаться?

    Пока изучала материалы для статьи, в Сети нашла много упоминаний о сервисах-вредителях, которые доставили использующим их людям массу неприятностей в виде санкций Яндекса.

    Делюсь самыми распространенными, чтобы вы не наступили на грабли:

    • socfishing.ru
    • leadvizit.ru
    • socbox.ru
    • soceffect.ru
    • lptracker.ru
    • sochunt.ru
    • userclick.su

    Ну разве заподозришь здесь обманную технологию? На первый взгляд все чинно-благородно и попробовать бесплатно очень хочется. Кстати, приведенный выше список сервисов – далеко не исчерпывающий. Просто посмотрите их, изучите и сторонитесь похожих.

  • Что делать, если опасаетесь за судьбу своего сайта?

    У вас на сайте стоит код стороннего сервиса, и вы не уверены, что это не приведет к последствиям? Яндекс рекомендует смотреть, делает ли сервис обращение к социальным сетям во время работы или нет.

    Как проверить? Заходите на сайт, кликаете правой кнопкой мыши, и из выпавшего списка выбираете «исследовать элемент» (Firebug). В открывшимся окне выбираете вкладку «сети» (network) и в формирующемся списке окна проверяем, чтобы не было обращения к соцсетям:

    Опасность в том, что часто сервисы, обещающие увеличение продаж («удержим посетителей, догоним ушедших» и т.п.), не распространяются о том, что используют обманную технологию, за которую ваш сайт может попасть под санкции.

    Проверяйте! Не будем забывать, что незнание не освобождает от ответственности, а санкции накладываются не на сервис, который вам предоставил код, а на ваш сайт, потому что вы его используете.

  • Будьте внимательнее к своему бизнесу. Повышайте конверсию честными способами, работайте комплексно над продвижением сайта, уделяйте должное внимание юзабилити и будет вам счастье.

    Что такое кликджекинг? Учебник и примеры

    В этом разделе мы объясним, что такое кликджекинг, опишем типичные примеры кликджекинга и обсудим, как защититься от этих атак.

    Что такое кликджекинг?

    Clickjacking - это атака на основе интерфейса, при которой пользователя обманом заставляют щелкнуть активный контент на скрытом веб-сайте, щелкнув другой контент на ложном веб-сайте. Рассмотрим следующий пример:

    Пользователь переходит на сайт-приманку (возможно, это ссылка в электронном письме) и нажимает кнопку, чтобы выиграть приз.По незнанию, злоумышленник обманул их и заставил нажать альтернативную скрытую кнопку, что привело к оплате счета на другом сайте. Это пример атаки кликджекинга. Метод зависит от включения невидимой веб-страницы (или нескольких страниц), содержащей кнопку или скрытую ссылку, например, в iframe. Iframe накладывается поверх ожидаемого пользователем содержимого веб-страницы-приманки. Эта атака отличается от атаки CSRF тем, что от пользователя требуется выполнить действие, такое как нажатие кнопки, тогда как атака CSRF зависит от подделки всего запроса без ведома или ввода пользователя.

    Защита от атак CSRF часто обеспечивается использованием токена CSRF: одноразового номера или одноразового номера для конкретного сеанса. Атаки Clickjacking не смягчаются токеном CSRF, поскольку целевая сессия устанавливается с контентом, загруженным с аутентичного веб-сайта, и все запросы происходят внутри домена. Маркеры CSRF помещаются в запросы и передаются на сервер как часть нормально работающего сеанса. Отличие от обычного пользовательского сеанса заключается в том, что процесс происходит в скрытом iframe.

    Как построить базовую атаку кликджекинга

    Атаки кликджекинга используют CSS для создания слоев и управления ими. Злоумышленник использует целевой веб-сайт как слой iframe, накладываемый на веб-сайт-ловушку. Пример использования тега стиля и параметров выглядит следующим образом:




    ...


    ... обмануть веб-контент здесь ...



    Целевой iframe веб-сайта позиционируется в браузере таким образом, чтобы было точное перекрытие целевого действия с веб-сайтом-приманкой с использованием соответствующих значений ширины и высоты положения.Значения абсолютного и относительного положения используются, чтобы гарантировать, что целевой веб-сайт точно перекрывает ловушку, независимо от размера экрана, типа браузера и платформы. Z-index определяет порядок наложения слоев iframe и веб-сайта. Значение непрозрачности определяется равным 0,0 (или близким к 0,0), поэтому содержимое iframe прозрачно для пользователя. Защита браузера от кликджекинга может применять определение прозрачности iframe на основе пороговых значений (например, Chrome версии 76 включает это поведение, а Firefox - нет).Злоумышленник выбирает значения непрозрачности, чтобы желаемый эффект был достигнут без запуска защитного поведения.

    Clickjacking с вводом предварительно заполненной формы

    Некоторые веб-сайты, на которых требуется заполнение и отправка форм, разрешают предварительное заполнение входных данных формы с использованием параметров GET перед отправкой. Другим веб-сайтам может потребоваться текст перед отправкой формы. Поскольку значения GET являются частью URL-адреса, целевой URL-адрес может быть изменен, чтобы включать значения по выбору злоумышленника, а прозрачная кнопка «Отправить» накладывается на сайт-обманку, как в базовом примере кликджекинга.

    Скрипты удаления кадров

    Атаки кликджекинга возможны всякий раз, когда веб-сайты можно фреймить. Следовательно, превентивные методы основаны на ограничении возможности создания фреймов для веб-сайтов. Обычной защитой на стороне клиента, реализуемой через веб-браузер, является использование сценариев блокировки или разрыва кадра. Они могут быть реализованы через проприетарные надстройки или расширения JavaScript браузера, такие как NoScript. Скрипты часто создаются таким образом, чтобы они выполняли некоторые или все следующие действия:

    • проверяет и обеспечивает, что текущее окно приложения является главным или верхним окном,
    • сделать все кадры видимыми,
    • предотвращает нажатие на невидимые рамки,
    • перехватывают и помечают потенциальные кликджекинг-атаки пользователя.

    Методы блокировки кадров часто зависят от браузера и платформы, и из-за гибкости HTML злоумышленники могут обойти их. Поскольку прерыватели фреймов - это JavaScript, настройки безопасности браузера могут препятствовать их работе, или даже браузер может даже не поддерживать JavaScript. Эффективный обходной путь злоумышленника против прерывателей фреймов - использование атрибута песочницы HTML5 iframe . Когда это установлено с помощью значений allow-forms или allow-scripts , а значение allow-top-navigation опущено, тогда сценарий блокировки кадров может быть нейтрализован, поскольку iframe не может проверить, является ли он верхним окно:


    Значения allow-forms и allow-scripts разрешают указанные действия внутри iframe, но навигация верхнего уровня отключена. Это препятствует перебору фреймов, обеспечивая при этом функциональность на целевом сайте.

    Сочетание кликджекинга с атакой DOM XSS

    До сих пор мы рассматривали кликджекинг как автономную атаку. Исторически сложилось так, что кликджекинг использовался для выполнения таких действий, как повышение «лайков» на странице Facebook.Однако истинная сила кликджекинга раскрывается, когда он используется в качестве носителя для другой атаки, такой как DOM XSS-атака. Реализация этой комбинированной атаки относительно проста, если предположить, что злоумышленник первым обнаружил эксплойт XSS. Затем XSS-эксплойт объединяется с целевым URL-адресом iframe, так что пользователь нажимает кнопку или ссылку и, следовательно, выполняет XSS-атаку DOM.

    Многоступенчатый кликджекинг

    Манипуляции со входными данными на целевом веб-сайте злоумышленником могут потребовать нескольких действий.Например, злоумышленник может захотеть обманом заставить пользователя купить что-то на веб-сайте розничной торговли, поэтому товары необходимо добавить в корзину для покупок до размещения заказа. Эти действия могут быть реализованы злоумышленником с использованием нескольких разделов или фреймов. Такие атаки требуют значительной точности и осторожности с точки зрения злоумышленника, чтобы они были эффективными и незаметными.

    Как предотвратить атаки кликджекинга

    Мы обсудили часто встречающийся механизм предотвращения на стороне браузера, а именно скрипты блокировки кадров.Однако мы увидели, что злоумышленнику часто легко обойти эти средства защиты. Следовательно, были разработаны протоколы, управляемые сервером, которые ограничивают использование iframe в браузере и снижают вероятность кликджекинга.

    Clickjacking - это поведение на стороне браузера, и его успех или иным образом зависит от функциональности браузера и его соответствия преобладающим веб-стандартам и передовой практике. Защита от кликджекинга на стороне сервера обеспечивается путем определения и передачи ограничений на использование таких компонентов, как iframe.Однако реализация защиты зависит от соответствия браузеру и соблюдения этих ограничений. Два механизма защиты от кликджекинга на стороне сервера - это X-Frame-Options и Content Security Policy.

    X-Frame-Options

    X-Frame-Options изначально был введен как неофициальный заголовок ответа в Internet Explorer 8 и быстро был принят в других браузерах. Заголовок предоставляет владельцу веб-сайта контроль над использованием фреймов или объектов, поэтому включение веб-страницы во фрейм может быть запрещено директивой deny :

    X-Frame-Options: отказать

    В качестве альтернативы фрейминг может быть ограничен тем же источником, что и веб-сайт, с помощью директивы sameorigin

    X-Frame-Options: sameorigin

    или на именованный веб-сайт с помощью директивы allow-from :

    X-Frame-Options: allow-from https: // normal-website.ком

    X-Frame-Options не реализован последовательно во всех браузерах (например, директива allow-from не поддерживается в Chrome версии 76 или Safari 12). Однако при правильном применении в сочетании с политикой безопасности контента в рамках стратегии многоуровневой защиты она может обеспечить эффективную защиту от атак типа «кликджекинг».

    Политика безопасности контента (CSP)

    Политика безопасности контента (CSP) - это механизм обнаружения и предотвращения, который обеспечивает защиту от атак, таких как XSS и кликджекинг.CSP обычно реализуется на веб-сервере в виде возвращаемого заголовка формы:

    Content-Security-Policy: политика

    где policy - это строка директив политики, разделенных точкой с запятой. CSP предоставляет клиентскому браузеру информацию о разрешенных источниках веб-ресурсов, которые браузер может применять для обнаружения и перехвата вредоносного поведения.

    Рекомендуемая защита от кликджекинга заключается в включении директивы frame-ancestors в политику безопасности содержимого приложения.Директива frame-ancestors 'none' аналогична по поведению директиве deny X-Frame-Options. Директива frame-ancestors 'self' в целом эквивалентна директиве X-Frame-Options sameorigin . Следующий CSP вносит фреймы в белый список только для одного домена:

    Content-Security-Policy: фрейм-предки «сам»;

    В качестве альтернативы кадрирование можно ограничить именованными сайтами:

    Content-Security-Policy: нормальный веб-сайт предков фреймов.com;

    Чтобы быть эффективными против кликджекинга и XSS, CSP нуждаются в тщательной разработке, внедрении и тестировании и должны использоваться как часть стратегии многоуровневой защиты.

    .

    internetwache / Python-ClickjackingTester: простой инструмент для проверки того, доступен ли веб-сайт для кликджекинга

    перейти к содержанию Зарегистрироваться
    • Почему именно GitHub? Особенности →
      • Обзор кода
      • Управление проектами
      • Интеграции
      • Действия
      • Пакеты
      • Безопасность
      • Управление командой
      • Хостинг
      • мобильный
      • Истории клиентов →
      • Безопасность →
    • Команда
    • Предприятие
    .

    Как предотвратить наш веб-сайт с помощью Clickjacking в ASP.NET c #?

    Переполнение стека
    1. Около
    2. Товары
    3. Для команд
    1. Переполнение стека Общественные вопросы и ответы
    2. Переполнение стека для команд Где разработчики и технологи делятся частными знаниями с коллегами
    3. Вакансии
    .

    callmevirus / Clickjacking: автоматический инструмент для тестирования кликджекинга. Просто введите URL-адрес, который хотите проверить.

    перейти к содержанию Зарегистрироваться
    • Почему именно GitHub? Особенности →
      • Обзор кода
      • Управление проектами
      • Интеграции
      • Действия
      • Пакеты
      • Безопасность
      • Управление командой
      • Хостинг
      • мобильный
      • Истории клиентов →
      • Безопасность →
    • Команда
    .

    Смотрите также

    Поделиться в соц. сетях

    Опубликовать в Facebook
    Опубликовать в Одноклассники
    Вы можете оставить комментарий, или ссылку на Ваш сайт.

    Оставить комментарий