Mengamankan Apache Web Server dari Clickjacking Attack

Clickjacking merupakan jenis serangan yang menyasar pada aplikasi web. Serangan ini memanipulasi tampilan sehingga ketika kita tertarik dan mengklik link tersebut akan diarahkan seperti yang diinginkan attacker. Untuk menghindari serangan tersebut melalui Apache, kita dapat menggunakan  X-FRAME-OPTIONS .

Penggunaan X-Frame-Options

X-Frame-Options HTTP response header dapat digunakan untuk mendeteksi apakah suatu browser diperbolehkan untuk rendering halaman web dalam <frame> atau <iframe>. Sebuah web dapat menggunakan ini untuk menghindari serangan clickjacking, dengan menjamin bahwa konten web tersebut tidak embedded ke dalam web lain.

Ada 3 kemungkinan nilai pada X-Frame-Options:

DENY

Halaman web tidak dapat di tampilkan dalam frame.

SAMEORIGIN

Halaman web hanya dapat ditampilkan dalam frame pada halaman yang sama.

ALLOW-FROM uri

Halaman web dapat ditampilkan dalam frame pada url spesifik.

Konfigurasi Apache

Pada apache, kita dapat mengkonfigurasi X-Frame-Options di  /etc/apache2/httpd.conf (ubuntu):

Header always append X-Frame-Options SAMEORIGIN

enable-kan headers module dengan perintah

# sudo a2enmod headers

Cek HTTP Response