Clickjacking (também conhecido como interface com o usuário ou correção de IU e IFRAME overlay) é um exploit no qual a codificação maliciosa é escondida sob botões aparentemente legítimos ou outro conteúdo clicável em um website.
Aqui está um exemplo, entre muitos cenários possíveis: Um visitante de um site pensa que está a clicar num botão para fechar uma janela; em vez disso, a acção de clicar no botão "X" leva o computador a descarregar um cavalo de Tróia, a transferir dinheiro de uma conta bancária ou a ligar o microfone ou a webcam integrados no computador. O site anfitrião pode ser um site legítimo que tenha sido pirateado ou uma versão falsificada de algum site bem conhecido. O atacante engana os usuários a visitar o site através de links online ou em mensagens de e-mail.
Os pesquisadores Jeremiah Grossman e Robert Hansen descobriram a vulnerabilidade. Eis como eles descrevem o problema:
Pense em qualquer botão em qualquer site, interno ou externo, que possa aparecer entre as paredes do navegador, transferências bancárias, botões Digg, banners de publicidade CPC, fila Netflix, etc. A lista é praticamente interminável e estes são exemplos relativamente inofensivos. Em seguida, considere que um ataque pode passar invisivelmente estes botões abaixo do mouse dos usuários, de modo que quando eles clicam em algo que vêem visualmente, na verdade eles estão clicando em algo que o atacante quer que eles façam. [...] Digamos que você tenha um roteador sem fio doméstico que você tenha autenticado antes de ir a um site da web. [A codificação maliciosa] pode colocar uma tag debaixo do seu mouse que enquadre em um único botão uma ordem para o roteador para, por exemplo, apagar todas as regras de firewall.