İçindekiler:
1) Clickjacking saldırısı nedir ?2) Clickjacking saldırısı nasıl yapılır ?
3) Clickjacking saldırısından nasıl korunuruz ?
Clickjacking saldırısı nedir ?
UI Redress Attack olarak da bilinen Clickjacking saldırısı penetrasyon testinde yaygın bir zayıflıktır. Bir siber saldırgan, görünüşte güvenli bir web sitesinin kullanıcılarını tehlikeli bir sayfaya yönlendirir ve bu kullanıcıları hedef alır.
Clickjacking, yalnızca kötü amaçlı bir web sitesine yönlendirmekle kalmaz, aynı zamanda başka bir programa da yönlendirir. Clickjacking saldırısı gerçekleştiren bir saldırgan, şifreler ve e-posta adresleri, banka hesap bilgileri gibi kritik bilgilere kolayca erişebilir.
Clickjacking'in bu kadar yaygın olarak kullanılmasının nedenlerinden biri, insan faktörünün güvenlik açıklarının üstesinden gelmesidir. Kimlik avı kampanyalarında genellikle tıklama korsanlığı tercih edilen yöntemdir. Bunun ana nedeni, saldırı altındaki kullanıcılar için zararlı olabilecek içeriğe tıklamaları yeterlidir. Clickjacking zaten kendi adını buradan alır.
Tıklama, amaçlarına ve faaliyetlerine göre farklı şekillerde sınıflandırılabilir:
• Filejacking: Bir saldırganın, bir kullanıcının yerel olarak sahip olduğu dosyalara erişim elde etmek için yaptığı saldırı.
• Cookiejacking: Bu, kurbanın tarayıcısında saklanan tanımlama bilgileri gibi kullanıcı arabirimi kimlik bilgilerini hedefleyen bir saldırı yöntemidir.
• Cursorjacking: Bu, arayüzdeki bir göstergenin kurbanın hedef alındığı başka bir konuma yeniden yönlendirilmesine dayanan bir yöntemdir.
• Likejacking: Mağdurun sosyal medya faaliyetlerini izlemeyi amaçlar.
• Parola Yöneticisi Saldırıları: Parola yönetimi hesaplarına parola bilgisi atayan saldırganlara dayalı bir saldırıdır.
Saldırı içerigi
Clickjacking saldırısının tam olarak ne olduğunu anlamak için bazı teknik yaklaşımları bilmek faydalıdır. Iframe, başka bir kaynaktan (web sayfasından) video, gif, resim, belge gibi medya içeriklerini web sayfasına eklemenizi sağlayan bir HTML-CSS yapısıdır. iFrame, Inline Frame'in kısaltılmış bir versiyonudur. IFrame üzerinden elde edilen medya içeriği, kaynağın url'si belirtilerek sağlanır. Saldırganları IFrame yapılarına yönlendirmeyi amaçlayan kötü amaçlı URL'ler yerleştirir. iFrame'lere yapılan Clickjacking saldırısını anlamak için aşağıdaki örnekleri incelemek faydalı olacaktır.
<button>Giriş için tıklayın</button> <iframe src="örneksite.com/login.php"></iframe>
Yukarıdaki basit görünen HTML kodu aslında kullanıcılar için ciddi riskler oluşturabilir. Giriş yapmak isteyen kullanıcı yanlışlıkla buradaki kötü niyetli adrese yönlendirilir.
<html lang=tr> <body> <div id="örneksite.com"> <h1>10.000 TL KAZANDINIZ!!!</h1> <img alt="giftbox" src="odul.jpg"> < h2>Hediyenizi almak için aşağı tıklayın</h2> <button type="submit">Hediyenizi alın</button> </div> <iframe id="örneksite.com/bin.sh" src="https :/ /localhost:3889"> </iframe> </body> </html>
Yukarıda bahsedilen başka bir örneği incelediğimizde, bir phishing saldırısı için Clickjacking saldırısı olduğu görülmektedir. Burada saldırgan, bir hediye kartı vaadiyle kullanıcıyı kötü niyetli bir URL'ye yönlendirmek için IFrame'i kullanır. Kullanıcı hediye kartını almak için tıkladığında, 3889 numaralı bağlantı noktasında bir parça kötü amaçlı kod bırakır.
Clickjacking saldırısı nasıl önlenir?
Clickjacking saldırısını önlemek için en önemli nokta HTTP Başlıklarını düzenlemek olacaktır. Prioritet X-Frame-Options başlığı yapılandırmak için. Bu başlık tarayıcının <frame>, <iframe> ve <object> objektlerin gösterilip gösterilmeyeceğini belirlemek için kullanılır. X-Frame-Options DENY, SAMEORIGIN ve ALLOW-FROM*Url* gibi 3 başlık değerini kabul ediyor.
• DENY – Sayfanın frame görüntülenmesine izin vermiyor.
• SAMEORIGIN – Sayfanın başka güvenli frame görüntülenmesine izin veriyor.
• LOW-FROM*Url* – frame yüklenmesi için URL ile birlikte gösterilir. Ancak, tüm tarayıcılar tarafından desteklenmez.
