Como se prevenir de ataques de Clickjacking?

Clickjacking ocorre quando um site não tem o parâmetro “X-Frame-Options” habilitado, possibilitando que um atacante consiga espelhar a página da vítima adicionando camadas adicionais à página original, adicionando botões, campos de cadastro/login entre outros, fazendo o usuário acreditar que a página em que navega seja segura.

Nos casos mais comuns atacantes “importam” ambientes desprotegidos inteiros em todos os detalhes, sejam componentes html, css ou funcionalidades de backend se tratando de JavaScript ou qualquer outro (lembrando que o atacante não obtém acesso ao código-fonte através desse método), adicionando novas páginas ou funcionalidades de promoções, cadastros ou outro serviço que parece adequado no contexto do sistema em questão “por cima” das já existentes, geralmente pedindo a inserção de dados pessoais ou de login onde, mesmo seguindo pra alguma funcionalidade, os dados inseridos são desviados para uso de terceiros.

Usando uma técnica semelhante, as teclas pressionadas também podem ser sequestradas. Com uma combinação cuidadosamente elaborada de folhas de estilo, iframes e caixas de texto, um usuário pode ser levado a acreditar que está digitando a senha em seu e-mail ou conta bancária, mas em vez disso está digitando em um quadro invisível controlado pelo invasor. 

A configuração adequada é habilitar o X-Frame-Options que usado para indicar se um navegador deve ou não ter permissão para renderizar uma página em um <frame>, <iframe> ou <object>. Os sites podem usar isso para evitar ataques de clickjacking, garantindo que seu conteúdo não seja incorporado a outros sites, por se tratar de uma das vulnerabilidades mais comuns encontradas atualmente. A Site Defender, em seus testes, a encontra já nas primeiras etapas dos Testes de Segurança e sugere maneiras adequadas para realizar a configuração adequada em função das necessidades de cada sistema analisado.