Categories: Security

Cara mudah mengamankan web dari serangan Click jacking

Bismillaahirrohmaanirrohiim…

Pertama, silahkan cek website Anda di clickjacker.io, masukkan url web kemudian klik tombol TEST.

Jika status di bawah berwarna merah dengan tulisan “It is vulnerable to clickjacking attack.” berarti anda perlu mengamankan websitenya.

Sebaliknya, jika statusnya hijau, dengan tulisan “It is safe from clickjacking attack.” artinya website aman dari serangan click jacking.

Clickjacking merupakan jenis serangan pada website yang membuat korbannya secara tidak sengaja menuju ke halaman yang tidak ingin dikunjungi, karena mengklik elemen pada halaman web yang telah dimodifikasi / disusupi kode jahat. Ini bisa terjadi karena website dapat di masukkan / diakses via iframe pada halaman website lainnya.

Contoh kasusnya adalah saat orang berkunjung ke halaman web pemerintah/kampus misalnya, yang dibuka persis seperti tampilan web prakerja secara biasanya, namun saat menekan tombol login / daftar, akan mengarahkan ke form halaman palsu untuk digunakan hacker menyimpan data yang telah dimasukkan tadi (user, email, pass, dll), serangan ini mirip phising, namun url halaman asli tidak berubah.

Contoh lainnya adalah dengan phising, jika halaman web di iframe di tempat / web lain, tinggal tambahin aja header / footernya kode-kode jahat agar user merasakan bahwa itu web resmi diatasnya ada tampilan “Anda mendapatkan hadiah” dan lain sebagainya. Jika diklik maka pengguna akan diarahkan untuk masuk perangkap sehingga data sensitif atau bahkan akun bank, cc, dll bisa dipegang hacker. Tentunya dengan teknik social enginering yang dikuasai.

Langsung saja, berikut ini cara mudah untuk mengatasinya:

Modifikasi htaccess

# X-XSS-Protection
<IfModule mod_headers.c>
 Header set X-XSS-Protection "1; mode=block"
</IfModule>
# X-Frame-Options
<IfModule mod_headers.c>
 Header set X-Frame-Options "SAMEORIGIN"
</IfModule>

Pertama, amankan dari XSS protection, yang kedua set X-Frame-Options menjadi DENY atau SAMEORIGIN. Kalau DENY, bahkan dari web sendiri pun tidak bisa memasang iframe web tersebut.

Menambahkan header pada kode server

Kode pada header ini disesuaikan, apakah web menggunakan PHP, ASP, node.js, react js, dsb. Jika menggunakan PHP, berikut kodenya:

header('X-Frame-Options: SAMEORIGIN');
header("Content-Security-Policy: frame-ancestors 'none'");

Nah, cukup sekian semoga bermanfaat…

Bagikan
rasupe

Share
Published by
rasupe

Recent Posts

CPU usage tinggi pada server

Bismillaahirrohmaanirrohiim... Untuk mendeteksi cpu usage tinggi memang perkara rumit, adakalanya karena codingan bermasalah, akses ke…

2 months ago

Membersihkan log mongodb yang besar

Bismillaahirrohmaanirrohiim... Jika tidak dirawat dan dicek berkala, log mongodb akan semakin membesar. Bahkan sampai menghabiskan…

2 months ago

Cara mengakses gps di HP dengan javascript

Bismillaahirrohmaanirrohiim... Jika kita membuat website yang digunakan untuk memantau lokasi HP client, maka kita memerlukan…

5 months ago

Menghitung jarak dua titik koordinat dengan php dan javascript

Bismillaahirrohmaanirrohiim... Kali ini kita akan mencoba menerapkan rumus trigonometeri dari formula haversine, yang digunakan untuk…

5 months ago

Kemasan cleo botol kecil sering bikin tangan terluka

Bismillaahirrohmaanirrohiim... Disini saya akan berbagi pengalaman tentang susahnya membuka tutup botol cleo kecil ukuran 220ml.…

5 months ago

Solusi InsCek pada meteran PLN

Bismillaahirrohmaanirrohiim... Kali ini saya akan berbagi pengalaman tentang mati lampu yang disebabkan oleh permasalahan arus…

5 months ago