Bij clickjacking wordt een gebruiker slachtoffer van een aanval doordat hij op een website op een button ('Yes', 'submit') klikt. Adobe bracht onlangs een update uit voor Flash Player, omdat een eerdere versie van het programma het wel erg eenvoudig maakte voor aanvallers om bijvoorbeeld een clickjack-button bovenop een legitieme button te plaatsen.

Clickjacking-aanvallen komen er in alle soorten en maten. Aanvallers kunnen behalve van Flash ook gebruikmaken van JavaScript, iFrames en zelfs gewone frames. Dat maakt het voor gebruikers zeer lastig om zich tegen clickjacking te wapenen.

Ook bij browser-makers leidt clickjacking tot de nodige hoofdbrekens. Volgens Eric Lawrence (security program manager voor Internet Explorer) zijn clickjacking-aanvallen moeilijk aan te pakken omdat ze gebruikmaken van veelgebruikte toepassingen, zoals iFrames. "We moeten een manier vinden om deze aanvallen af te slaan, maar tegelijkertijd moeten we ervoor zorgen dat we niet het web kapotmaken", aldus Lawrence.

In Internet Explorer 8 neemt Microsoft maatregelen om het risico van clickjacking te verkleinen. Maar ondertussen drukt Lawrence beheerders van websites op het hart op de beveiliging van hun websites op orde te brengen. Aanvallers kunnen hun clickjack-aanvallen immers uitvoeren via gehackte, legitieme sites. Gebruikers krijgen van Lawrence het advies om terughoudend te zijn met het inloggen op allerhande sites.

Overigens kan Lawrence niet nalaten om erop te wijzen dat veel problemen tegenwoordige worden veroorzaakt door add-ons. "Eén van de dingen die we de laatste twee jaar zien, is dat aanvallers zich niet meer richten op de browser zelf." Het zijn voornamelijk bugs in plug-ins van derden (zoals Flask, PDF, QuickTime) die voor moeilijkheden zorgen. Bron: Techworld