Mengamankan Apache Web Server dari Clickjacking Attack

chmood
Clickjacking merupakan jenis serangan yang menyasar pada aplikasi web. Serangan ini memanipulasi tampilan sehingga ketika kita tertarik dan mengklik link tersebut akan diarahkan seperti yang diinginkan attacker. Untuk menghindari serangan tersebut melalui Apache, kita dapat menggunakan  X-FRAME-OPTIONS .
Penggunaan X-Frame-Options
X-Frame-Options HTTP response header dapat digunakan untuk mendeteksi apakah suatu browser diperbolehkan untuk rendering halaman web dalam <frame> atau <iframe>. Sebuah web dapat menggunakan ini untuk menghindari serangan clickjacking, dengan menjamin bahwa konten web tersebut tidak embedded ke dalam web lain.
Ada 3 kemungkinan nilai pada X-Frame-Options:
DENY
Halaman web tidak dapat di tampilkan dalam frame.
SAMEORIGIN
Halaman web hanya dapat ditampilkan dalam frame pada halaman yang sama.
ALLOW-FROM uri
Halaman web dapat ditampilkan dalam frame pada url spesifik.
Konfigurasi Apache
Pada apache, kita dapat mengkonfigurasi X-Frame-Options di  /etc/apache2/httpd.conf (ubuntu):
Header always append X-Frame-Options SAMEORIGIN
enable-kan headers module dengan perintah
# sudo a2enmod headers
Cek HTTP Response

 x frame options Mengamankan Apache Web Server dari Clickjacking Attack


Komentar