Herkese Merhabalar Bugün Sizlerle Birlikte PortSwigger'da Bulunan ClickJacking Lab'ını Çözeceğiz
ClickJacking Nedir ?
ClickJacking, Kullanıcının istemediği birşeye zorla tıklanmasıdır. Örnek vermek gerekirse
(lab'da da bu şekilde) hesabı sil butonu gözükmüyor ve orda bana tıkla yazısı var. Kullanıcı
tıklar ise hesabı siliniyor.
İlk önce lab'ımızda hesabımıza giriş yapalım My Account kısmından
Lab'a Girmeden Önce Kullanıcı Adı ve Şifreyi Vermişti
wiener : peter
Ve giriş yapalım
Farkettiyseniz Delete account kısmı var ve amacımız kullanıcının hesabını sildirmek
Şimdi ise Exploit Server'a Gidelim
Body kısmında Hello World yazıyor. O kısma HTML Kodlarımızı Yazacağız
Bize gereken etiketler:
<iframe>
<style>
<div>
İlk Başta iframe ile başlayalım
Body kısmına şu kodu yazalım
<iframe src="https://labın url'i.web-security-academy.net/my-account"></iframe>
Ve view exploit'e basalım
Bize My Account sayfasını gösterdi fakat biraz küçük bir şekilde
şimdi ise devreye <style> etiketi giriyor
bu sefer iframe'i düzenlemek için şu kodu yazalım
HTML:
<style>
iframe {
position:relative;
width: 1000px;
height: 700px;
opacity: 0.1;
z-index: 2;
}
</style>
Şimdi view exploit'e basalım
Bence şimdi çok daha güzel oldu
Farkettiyseniz opaklık çok düşük. Ekran çok az gözüküyor. Zaten ClickJacking Saldırısında Hiçbirşeyin
Gözükmemesi Gerek. Az sonra full azaltacağız.
Şimdi ise yeni etiketimiz <div> kullanacağız.
<style> etiketinin dışına şu kodu ekliyoruz:
<div>CLICK ME</div>
Dikkat: bu kısma click me dışında birşey yazmayın ben saatlerdir tikla yazdığım için kabul
etmiyordu sonunda CLICK ME yazdım kabul etti
Şimdi ise view exploit diyelim
Evet CLICK ME Yazısı gözüktü. Bu yazıyı Delete Account kısmına koymamız gerekiyor. Bunu için
tekrar <style> etiketini kullanacağız
şimdi style etiketinin kodunun tamamı şu şekilde olacak:
Bence şimdi çok daha güzel oldu
Farkettiyseniz opaklık çok düşük. Ekran çok az gözüküyor. Zaten ClickJacking Saldırısında Hiçbirşeyin
Gözükmemesi Gerek. Az sonra full azaltacağız.
Şimdi ise yeni etiketimiz <div> kullanacağız.
<style> etiketinin dışına şu kodu ekliyoruz:
<div>CLICK ME</div>
Dikkat: bu kısma click me dışında birşey yazmayın ben saatlerdir tikla yazdığım için kabul
etmiyordu sonunda CLICK ME yazdım kabul etti
Şimdi ise view exploit diyelim
Evet CLICK ME Yazısı gözüktü. Bu yazıyı Delete Account kısmına koymamız gerekiyor. Bunu için
tekrar <style> etiketini kullanacağız
şimdi style etiketinin kodunun tamamı şu şekilde olacak:
HTML:
<style>
iframe {
position:relative;
width: 1000px;
height: 700px;
opacity: 0.1;
z-index: 2;
}
div {
position: absolute;
top: 511px;
left: 60px;
z-index: 1;
}
</style>
Evet sabahtandır CLICK ME yazısını ortalamaya çalışıyorum ve ortaladım
View exploit diyerek bakalım
Bende şuan delete account kısmında CLICK ME yazısı gözüküyor fakat lab'ı çözme mesajı
yüzünden şuan tam ortalanmamış gözüküyor sizde o şekilde olmayacaktır
Şimdi geriye tek birşey kaldı <style> etiketinde iframe opacity'i 0.000001 yapalım ve view exploit diyelim
Ve CLICK ME yazısının arkasında delete account var fakat opaklıktan dolayı gözükmüyor
Kullanıcı oraya bastığı zaman hesabı silinecektir.
Lab'ın çözülmesi için kodları yazdığımız textbox'un altındaki store'a basıp deliver exploit to victim'e basalım
Ve lab'ımız çözüldü
Beni dinlediğiniz için teşekkürler görüşürüz
View exploit diyerek bakalım
Bende şuan delete account kısmında CLICK ME yazısı gözüküyor fakat lab'ı çözme mesajı
yüzünden şuan tam ortalanmamış gözüküyor sizde o şekilde olmayacaktır
Şimdi geriye tek birşey kaldı <style> etiketinde iframe opacity'i 0.000001 yapalım ve view exploit diyelim
Ve CLICK ME yazısının arkasında delete account var fakat opaklıktan dolayı gözükmüyor
Kullanıcı oraya bastığı zaman hesabı silinecektir.
Lab'ın çözülmesi için kodları yazdığımız textbox'un altındaki store'a basıp deliver exploit to victim'e basalım
Ve lab'ımız çözüldü
Beni dinlediğiniz için teşekkürler görüşürüz
Son düzenleme: