DoubleClickjacking
A DoubleClickjacking egy új típusú felhasználói felület (UI) megtévesztési támadás, amely a klasszikus clickjacking módszer továbbfejlesztett változata. Míg a hagyományos clickjacking egyetlen kattintásra épít, a DoubleClickjacking a dupla kattintás (double-click) sorozatát használja ki, hogy megkerülje a meglévő védelmi mechanizmusokat, például az X-Frame-Options fejlécet vagy a SameSite: Lax/Strict cookie-beállításokat. Ez a technika számos weboldalt érinthet, és lehetővé teheti a támadók számára a felhasználói fiókok átvételét különböző platformokon.
A támadó létrehoz egy weboldalt egy gombbal, amely új ablakot nyit meg, vagy automatikusan megnyit egy új ablakot a felhasználó interakciója nélkül.
Amikor a felhasználó rákattint a gombra egy új ablak nyílik meg, amely arra kéri a felhasználót, hogy kattintson duplán. Ez az új ablak azonnal módosítja a szülőablak (az eredeti ablak) URL-jét a céloldalra (például egy OAuth engedélyezési oldalra). Amikor a felhasználó végrehajtja a dupla kattintást az első kattintás (mousedown esemény) bezárja a felső ablakot, a második kattintás az immár láthatóvá vált szülőablakban lévő engedélyezési gombra esik, így a felhasználó tudtán kívül engedélyezi a támadó alkalmazását a fiókjához.
Ezzel a támadók rávehetik a felhasználókat, hogy rosszindulatú alkalmazásoknak adjanak széleskörű jogosultságokat, ami fiókátvételhez vezethet. A DoubleClickjacking segítségével a támadók a felhasználókat arra késztethetik, hogy akaratlanul módosítsák fiókbeállításaikat, például biztonsági beállítások letiltása, fiók törlése, hozzáférés engedélyezése vagy pénzátutalások megerősítése.