Clickjacking Nedir?

WebYazilimciniz

Clickjacking Nasıl Çalışır?

Saldırganın Tuzak Sitesi: Saldırgan, Kullanıcının Ilgisini Çekecek, Cazip Bir Web Sayfası Oluşturur (örneğin, "ücretsiz Ipad Kazandınız!" Veya "ücretsiz Indirme Için Tıklayın!" Gibi).

Hedef Sitenin Gizlenmesi: Bu Tuzak Sayfasına, Kullanıcının Farkında Olmadan Işlem Yapmasını Istedikleri Meşru Bir Web Sitesinin (örneğin, Banka Sitesi, Sosyal Medya Hesabı) Gizli Bir <iframe>'ini Yerleştirirler.

Bu <iframe> Genellikle Şeffaf Yapılır Veya Sayfanın Geri Kalanının Altına Gizlenir.

Düğme Hizalaması: Saldırgan, Tuzak Sitedeki Görünen Bir Düğmeyi (örneğin, "ödülünüzü Alın") Gizli <iframe> Içindeki Hassas Bir Düğmeyle (örneğin, "para Transferini Onayla" Veya "tüm Arkadaşlara Gönder") Tam Olarak Hizalar.

Kullanıcının Tuzağa Düşürülmesi: Kullanıcı, Tuzak Sitedeki Görünen Düğmeye Tıkladığını Düşünürken, Aslında Gizli <iframe> Içindeki Hassas Düğmeye Tıklar.

Eğer Kullanıcı Hedef Siteye Zaten Giriş Yapmışsa (örneğin, Banka Hesabına), Saldırganın Istediği Işlem Kullanıcının Bilgisi Olmadan Gerçekleşir.

Clickjacking Saldırılarının Örnekleri:

Para Transferi: Kullanıcı, "ücretsiz Tatil Kazanmak Için Tıklayın" Düğmesine Bastığını Düşünürken, Banka Hesabından Saldırgana Para Transferini Onaylayabilir.

Sosyal Medya Paylaşımları: Kullanıcı, Bir Haber Makalesini Okuduğunu Sanırken, Gizli Bir "beğen" Veya "paylaş" Düğmesine Tıklayarak Bir Sayfayı Veya Gönderiyi Istemeden Beğenebilir Veya Paylaşabilir (buna "likejacking" De Denir).

Kötü Amaçlı Yazılım Indirme: Kullanıcı, Bir Video Oynatma Düğmesine Tıkladığını Düşünürken, Kötü Amaçlı Bir Yazılımın Indirilmesini Tetikleyebilir.

Kamera/mikrofon Erişimi: Eski Flash Güvenlik Açıkları Kullanılarak, Kullanıcılar Farkında Olmadan Saldırganlara Kamera Veya Mıkrofon Erişimi Verebilirdi.

Clickjacking'den Korunma Yöntemleri:

Web Geliştiricileri Için:

X-frame-options Http Header: Bu Başlık, Bir Web Sayfasının <iframe> Içinde Gösterilip Gösterilemeyeceğini Kontrol Etmenizi Sağlar.

En Yaygın Değerleri Şunlardır:

Deny: Sayfanın Hiçbir Şekilde <iframe> Içinde Görüntülenmesini Engeller.

Sameorigin: Sayfanın Sadece Aynı Alan Adı (domain) Altındaki Diğer Sayfalarda <iframe> Içinde Görüntülenmesine Izin Verir.

Allow-from Uri: Sayfanın Sadece Belirtilen Uri'den <iframe> Içinde Görüntülenmesine Izin Verir (ancak Tüm Tarayıcılarda Desteklenmez).

Content Security Policy (csp): Csp'nin Frame-ancestors Yönergesi, Bir Sayfanın <iframe>, Object, Embed Veya Applet Gibi Unsurlar Aracılığıyla Hangi Kaynaklar Tarafından Gömülebileceğini Belirtir.

Bu, X-frame-options'tan Daha Esnek Ve Güçlü Bir Çözümdür.

Frame-busting (frame-breaking) Scriptler: Bu Tür Javascript Kodları, Sayfanın <iframe> Içinde Yüklendiğini Algıladığında Kendisini Üst Pencereye Yönlendirerek Veya <iframe>'i Kırarak Saldırıyı Engellemeyi Amaçlar.

Ancak Bu Yöntemler Her Zaman Yüzde Yüz Etkili Değildir Ve Bazı Tarayıcılar Tarafından Engellenebilir.

Kullanıcılar Için:

Güvenilmeyen Linklere Tıklamayın: Özellikle E-posta Veya Sosyal Medya Aracılığıyla Gelen Şüpheli Linklere Tıklamaktan Kaçının.

Tarayıcı Eklentileri: Bazı Tarayıcı Eklentileri (örneğin, Noscript), Iframe'leri Veya Belirli Scriptleri Engelleyerek Clickjacking'e Karşı Ek Koruma Sağlayabilir.

Şüpheci Olun: Bir Web Sitesinde Beklenmedik Bir Davranış Veya Şüpheli Bir Düzenleme Gördüğünüzde Dikkatli Olun.

Clickjacking, Genellikle Sosyal Mühendislik Yöntemleriyle Birleşerek Kullanıcının Dikkatsizliğinden Faydalanan Bir Saldırı Türüdür.

Bu Nedenle, Hem Web Geliştiricilerinin Uygun Güvenlik Önlemlerini Alması Hem De Kullanıcıların Bilinçli Olması Önemlidir.