خداع النقرات المزدوجة: عصر جديد من عمليات التلاعب بواجهة المستخدم
يُعد خداع النقرات المزدوجة (DoubleClickjacking) نوعًا جديدًا من الهجمات التي تستغل توقيت أحداث النقر المزدوج لتجاوز جميع وسائل الحماية المعروفة ضد خداع النقرات (Clickjacking)، بما في ذلك رأس X-Frame-Options، و frame-ancestors من CSP، وملفات تعريف الارتباط SameSite: Lax/Strict. يُضل المهاجمون المستخدمين للقيام بنقر مزدوج على زر يبدو حميدًا، ويقومون بالتبديل بسرعة بين النوافذ في غضون ميلي ثانية لخطف الإجراءات مثل السماح لتطبيقات خبيثة أو تغيير إعدادات الحساب. يستغل هذا النوع من الهجوم الفرق الدقيق في التوقيت بين حدثي mousedown و onclick، مما يجعله فعالًا بغض النظر عن سرعة النقر المزدوج. على الرغم من أن بعض المواقع تعمل على التخفيف من هذه المشكلة عن طريق تعطيل الأزرار حتى يتم اكتشاف تفاعل المستخدم (تحريك الماوس أو إدخال لوحة المفاتيح)، إلا أن هذا يتطلب حماية على جانب العميل. تتطلب الحلول طويلة الأجل معايير جديدة للمتصفح للدفاع ضد هذا.
اقرأ المزيد