CLICKJACKING
Clickjacking, kullanıcının gizlenmiş bir web sayfasında tıklamalar yapması için kandıran bir saldırıdır. Bu, kullanıcıların farkında olmadan kötü amaçlı yazılım indirmesine, kötü amaçlı web sayfalarını ziyaret etmesine, kimlik bilgileri veya hassas bilgiler paylaşmasına, para transfer etmesine veya çevrimiçi ürün satın almasına neden olabilir.
Basitçe clickjacking kullanıcının gördüğü sayfanın üstünde, bir iframe, görünmez bir sayfa veya HTML öğesi görüntülenerek gerçekleştirilir. Kullanıcı, görünen sayfayı tıkladığına inanır, ancak aslında, onun üzerine aktarılan ek sayfada görünmez bir öğeye tıklamaktadır.
Görünmez sayfa, kötü amaçlı bir sayfa veya kullanıcının ziyaret etmeyi düşünmediği bir sayfa olabilir. Örneğin, kullanıcının bankacılık sitesinde para transferine izin veren veya webcam erişimine izin veren bir sayfa.
Clickjacking saldırısının çeşitli varyasyonları vardır, örneğin:
Likejacking: Facebook "Beğen" düğmesinin manipüle edildiği ve kullanıcıların aslında beğenmek istemedikleri bir sayfayı "beğenmelerine" neden olabilir.
Cursorjacking: Kullanıcının gördüğü konum için imleci başka bir konuma değiştiren bir UI düzeltme tekniği. Cursorjacking, Flash ve Firefox tarayıcısındaki şu anda düzeltilmiş olan güvenlik açıklarına dayanır.
Örnek bir senaryo:
Örneğin, üzerinde "ücretsiz iPhoneiçin burayı tıklayın" yazan bir düğme bulunan bir web sitesi oluşturan bir saldırgan düşünün. Ancak, bu web sayfasının üstüne, saldırgan posta hesabınızla bir iframe yükledi ve "tüm mesajları sil" düğmesini doğrudan "ücretsiz iPhone" düğmesinin üstüne yerleştirdi. Kurban “ücretsiz iPhone” düğmesine tıklamaya çalışır, ancak bunun yerine aslında görünmez “tüm mesajları sil” düğmesine tıklamıştır. Özünde, saldırgan kullanıcının tıklamasını "kandırdı", dolayısıyla "Clickjacking" yapmış oldu.
Örnek bir clickjacking kodu
Kod:
<html>
<style>
iframe {
width:1000px;
height:500px;
position:absolute;
top:0; left:0;
filter:alpha(opacity=10); /* gerçek bir saldırıda bu opaklık bu olur=0 */
opacity:0.1;
}
</style>
<body>
<button style="z-index:-1;margin-top:215px;margin-left:270px;width:50px;">Fun!</button>
<iframe src="http://localhost:3001" width="800" height="400"></iframe>
</body>
</html>
Clickjacking'den Nasıl Korunabiliriz
Mozilla vb. Tarayıcılarda NoScript ve Framekiller benzeri eklentiler kullanabilirsiniz. Bu sayede iframe pencerelerinin tümü siz izin verinceye dek gösterilmeyecektir.
İllegal içeriğe sahip olan internet sitelerini ziyaret etmeyin veya internet tarayıcınızın gizli sekme özelliğini (incognito özelliği) kullanın. Böylece sosyal medya hesaplarınızı güvende tutabilirsiniz.
Son düzenleme: