Clickjacking (ou UI redressing attack) é uma das formas de ...

Alternativa Correta: B

Clickjacking, também conhecido como UI redressing attack, é um tipo de ataque em que o usuário é enganado a clicar em algo diferente do que ele percebe, redirecionando suas ações para outros objetivos, muitas vezes maliciosos. Para compreender melhor, imagine clicar em um botão que você pensa ser legítimo, mas, na verdade, está realizando uma ação indesejada, como compartilhar informações pessoais ou confirmar uma transação financeira.

Vamos analisar por que a alternativa B é a correta e as outras não.

Alternativa B: O lado servidor da aplicação deve fazer uso do cabeçalho HTTP X-Frame-Options com a opção DENY.

A alternativa B é correta porque o cabeçalho X-Frame-Options é uma medida de segurança que instrui o navegador a não permitir que a página seja carregada dentro de um frame, iframe ou object. Isso protege contra ataques de clickjacking ao evitar que a página seja embutida em outros sites que possam enganar o usuário.

Alternativa A: A aplicação deve fazer uso e checagem de tokens aleatórios nos formulários.

Embora o uso de tokens aleatórios, como CSRF tokens, seja uma boa prática para prevenir ataques de Cross-Site Request Forgery (CSRF), não é eficaz contra clickjacking. CSRF e clickjacking são tipos de ataques diferentes e exigem medidas de segurança distintas.

Alternativa C: Cookies usados pela aplicação devem ser criados com a opção Secure.

Configurar cookies com a opção Secure garante que eles sejam transmitidos apenas em conexões seguras (HTTPS). No entanto, essa configuração não tem relação direta com a proteção contra clickjacking. Ela é mais relevante para proteger a integridade dos dados transmitidos via cookies.

Alternativa D: Entradas de dados de usuários na aplicação devem ser filtradas para evitar o uso de comandos SQL.

Filtrar entradas de dados para evitar SQL Injection é crucial para a segurança da aplicação, mas não previne ataques de clickjacking. SQL Injection e clickjacking são vulnerabilidades diferentes e exigem abordagens de segurança diferentes.

Alternativa E: O lado cliente da aplicação deve evitar o redirecionamento de páginas para o protocolo HTTP não seguro.

Essa prática é importante para proteger a integridade e confidencialidade dos dados, prevenindo ataques como Man-in-the-Middle (MitM), mas não tem relação direta com a proteção contra clickjacking. A prevenção de clickjacking se dá, principalmente, pelo controle da renderização de conteúdo em frames.

Em resumo, a alternativa B é a que aborda corretamente uma medida de proteção para evitar ataques de clickjacking. As outras alternativas, embora mencionem boas práticas de segurança, não são eficazes especificamente contra esse tipo de ataque.

Manter o browser atualizado e evitar clicar em anúncios e websites de procedência desconhecida. Já para os desenvolvedores, as técnicas mais adotadas são a utilização de quebra de frames e o uso de cabeçalho HTTP X-frame-options.

fonte: https://www.pmgacademy.com/blog/artigos/o-que-e-clickjacking/

clickjacking: inserção de uma camada invisível na interface do usuário, entre seus comandos e o que você vê na tela do dispositivo.

Você pode pensar que está visualizando a tela do banco depois de inserir seu ID e sua senha, mas o que realmente aparece é uma réplica da mesma tela colocada sobre as informações reais do banco. Kaspersky