Cara Mencegah Clickjacking Dengan CSP

Yow Halo Exploiter, pada artikel kali ini, saya akan menyampaikan tutorial Cara Mencegah Clickjacking Dengan CSP, karena beberapa waktu lalu ada heker yang report bug Clickjacking di web team saya https://tools.xploitsecid.or.id dan minta bounty pfftt, padahal di laman sudah tertera "No Bounty" dan jika anda nemu bug yang sekiranya crit, silahkan di obrak abrik webnya kalo perlu cpnya di crack dan ganti passwordnya, saya mah sante xD, dan kemarin juga dateng heker lagi, report bug Clickjacking, sfx* buset kok banyak yang buta map ya. 

kenapa sampe skrg belum saya patch ? ada alasan tersendiri, banyak heker report bug ke saya, dan saya mengabaikannya, dan jika saya mempatchnya pasti bakalan koar, "udh gak ngasih bounty, malah di patch". dan kemarin juga ada yang bilang "gabisa patch mah bilang". wkekeke serba salah ya, dasar heker, ok kali ini saya akan mempatch bugnya sendiri dengan sederhana, yaitu menggunakan CSP ( Content Security Policy ) xD.

Apa Itu CSP ( Content Security Policy )

Kebijakan Keamanan Konten (CSP) adalah standar keamanan komputer yang diperkenalkan untuk mencegah scripting lintas situs (XSS), clickjacking dan serangan injeksi kode lain yang dihasilkan dari eksekusi konten berbahaya dalam konteks halaman web tepercaya.

Apa Itu Clickjacking ?

Clickjacking (diklasifikasikan sebagai serangan ganti rugi Antarmuka Pengguna , serangan ganti rugi UI , ganti rugi UI ) adalah teknik jahat untuk menipu pengguna agar mengklik sesuatu yang berbeda dari apa yang dirasakan pengguna, sehingga berpotensi mengungkapkan informasi rahasia atau memungkinkan orang lain untuk mengambil kendali komputer mereka sambil mengklik pada objek yang tampaknya tidak berbahaya, termasuk halaman web .

Di browser web , clickjacking adalah masalah keamanan browser yang merupakan kerentanan di berbagai browser dan platform .Clickjacking juga dapat terjadi di luar browser web, termasuk aplikasi.Clickjack mengambil bentuk kode tertanam atau skrip yang dapat dijalankan tanpa sepengetahuan pengguna, seperti mengklik tombol yang muncul untuk melakukan fungsi lain.
Clickjacking adalah contoh dari masalah wakil bingung , di mana komputer secara tidak sengaja tertipu untuk menyalahgunakan otoritasnya.

Cara Sederhana Mencegah ClickJacking Dengan CSP

disini saya memiliki contoh web http://tools.xploitsecid.or.id yang vuln terhadap clickjacking

saya akan mengetestnya dengan Clickjacking tester : http://tools.xploitsecid.or.id/Click-Jacking

disitu terlihat bahwa situsnya bisa muncul pada laman clickjacking.

disini saya patch sederhana dengan CSP, masukkan kode header ini kedalam source code web yang vulnerable.

<?php
header("Content-Security-Policy: frame-ancestors 'none'");
?>

ok disini saya sudah mengetes webnya lagi, disana terlihat ( lihat gambar bawah ) bahwa lamannya kosong, yang menandakan sudah berhasil di patch.

ok itu saja yang bisa saya sampaikan, kurang lebihnya mohon di maafkan, see u on next post :D.

Posted By : Bayu Santoso