Clickjacking

Vikipedi, özgür ansiklopedi
Clickjacking saldırısında, kullanıcıya sahte bir arayüz sunulur ve girdileri göremedikleri bir şeye uygulanır.

Clickjacking (kullanıcı arayüzü düzeltme saldırısı veya kullanıcı arayüzü düzeltme olarak sınıflandırılır), bir kullanıcıyı algıladığından farklı bir şeye tıklaması için kandıran, böylece gizli bilgileri açığa çıkarma veya web sayfaları da dahil olmak üzere görünüşte zararsız nesnelere tıklarken başkalarının bilgisayarlarının kontrolünü ele geçirmesine izin veren kötü niyetli bir tekniktir.[1][2][3][4][5]

Tarih[değiştir | kaynağı değiştir]

2002 yılında, bir web sayfasına saydam bir katman yerleştirmenin ve kullanıcının girdisinin kullanıcı fark etmeden saydam katmanı etkilemesinin mümkün olduğu kaydedilmiştir. Ancak bu durum 2008 yılına kadar önemli bir sorun olarak görülmemiştir. [6]

2008 yılında Jeremiah Grossman ve Robert Hansen, Adobe Flash Player'ın tıklanarak ele geçirilebildiğini ve böylece saldırganın kullanıcının bilgisi olmadan bilgisayara erişim sağlayabildiğini keşfetmişlerdir. [7]

Tanım[değiştir | kaynağı değiştir]

Clickjacking'in bir türü, saldırganın kullanıcının bilgisayarını kendi avantajına göre manipüle etmesine izin vermek için uygulamalarda veya web sayfalarında bulunan güvenlik açıklarından yararlanmaktadır.

Örnek olarak, clickjacked bir sayfa, kullanıcıyı gizli bağlantılara tıklayarak istenmeyen aksiyonlar gerçekleştirmesi için kandırır. Tıklama saldırısına uğramış bir sayfada, saldırganlar orijinal sayfanın üzerine şeffaf bir katmanda başka bir sayfa yükleyerek kullanıcıyı, sonuçları kullanıcının beklediği gibi olmayacak aksiyonlar alması için kandırırlar. Şüphelenmeyen kullanıcılar görünür düğmelere tıkladıklarını düşünürken, aslında görünmez sayfada işlemler gerçekleştirmekte, katmanın altındaki sayfanın düğmelerine tıklamaktadır. Gizli sayfa bir otantikasyon sayfası olabilir; bu nedenle saldırganlar kullanıcıları kandırarak, kullanıcıların hiç amaçlamadıkları aksiyonları gerçekleştirmelerini sağlayabilirler. Kullanıcıların kimlikleri gizli sayfada gerçekten doğrulanmış olacağından, bu tür eylemleri daha sonra saldırganlara kadar takip etmenin bir yolu yoktur.

Önleme[değiştir | kaynağı değiştir]

İstemci tarafı[değiştir | kaynağı değiştir]

NoScript[değiştir | kaynağı değiştir]

Mozilla Firefox masaüstü ve mobil sürümlerine NoScript eklentisi yüklenerek clickjacking'e (likejacking dahil) karşı koruma eklenebilir.

NoClickjack[değiştir | kaynağı değiştir]

"NoClickjack" web tarayıcısı eklentisi (tarayıcı uzantısı), Google Chrome, Mozilla Firefox, Opera ve Microsoft Edge kullanıcıları için yasal iFrame'lerin çalışmasına müdahale etmeden istemci tarafı clickjack koruması ekler. NoClickjack, GuardedID için geliştirilen teknolojiye dayanmaktadır. NoClickjack eklentisi ücretsizdir.

Korumalı Kimlik[değiştir | kaynağı değiştir]

GuardedID (ticari bir program) Internet Explorer kullanıcıları için yasal iFrame'lerin çalışmasını engellemeyen istemci tarafı clickjack koruması içerir. GuardedID clickjack koruması tüm çerçeveleri görünür olmaya zorlar.

Sunucu Tarafı[değiştir | kaynağı değiştir]

X-Frame-Options[değiştir | kaynağı değiştir]

X-Frame-Options, web sitesi sahibi tarafından ayarlandığında, tercih edilen çerçeveleme politikasını beyan eder: DENY, ALLOW-FROM origin veya SAMEORIGIN değerleri sırasıyla herhangi bir çerçevelemeyi, harici siteler tarafından çerçevelemeyi önler veya yalnızca belirtilen site tarafından çerçevelemeye izin verir. Buna ek olarak, bazı reklam siteleri, içeriklerinin herhangi bir sayfada çerçevelenmesine izin vermek amacıyla standart olmayan bir ALLOWALL değeri döndürür (X-Frame-Options'ı hiç ayarlamamaya eşdeğer).

X-Frame-Options gibi bir güvenlik başlığı, kullanıcıları çerçeve kullanmayan clickjacking saldırılarına karşı korumayacaktır.[8]

Content Security Policy[değiştir | kaynağı değiştir]

Content Security Policy (CSP), XSS ve clickjacking gibi saldırılara karşı hafifletme sağlayan bir tespit ve önleme mekanizmasıdır.

Kaynakça[değiştir | kaynağı değiştir]

  1. ^ Robert McMillan (17 Eylül 2008). "At Adobe's request, hackers nix 'clickjacking' talk". PC World. 17 Temmuz 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 8 Ekim 2008. 
  2. ^ Megha Dhawan (29 Eylül 2008). "Beware, clickjackers on the prowl". India Times. 24 Temmuz 2009 tarihinde kaynağından arşivlendi. Erişim tarihi: 8 Ekim 2008. 
  3. ^ Dan Goodin (7 Ekim 2008). "Net game turns PC into undercover surveillance zombie". The Register. 8 Ekim 2008 tarihinde kaynağından arşivlendi. Erişim tarihi: 8 Ekim 2008. 
  4. ^ Fredrick Lane (8 Ekim 2008). "Web Surfers Face Dangerous New Threat: 'Clickjacking'". newsfactor.com. 13 Ekim 2008 tarihinde kaynağından arşivlendi. Erişim tarihi: 8 Ekim 2008. 
  5. ^ Shahriar (4 Temmuz 2014). "Classification of Clickjacking Attacks and Detection Techniques". Information Security Journal: A Global Perspective (İngilizce). 23 (4–6): 137-147. doi:10.1080/19393555.2014.931489. ISSN 1939-3555. 16 Şubat 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 5 Nisan 2023. 
  6. ^ "UI Redressing Attacks on Android Devices" (PDF). Black Hat. 2012. 18 Ocak 2013 tarihinde kaynağından (PDF) arşivlendi.  Yazar |ad1= eksik |soyadı1= (yardım)
  7. ^ Niemietz, Marcus (2012). "UI Redressing Attacks on Android Devices" (PDF). Black Hat. 18 Ocak 2013 tarihinde kaynağından (PDF) arşivlendi. 
  8. ^ "lcamtuf's blog: X-Frame-Options, or solving the wrong problem". 10 Aralık 2011. 
"https://tr.wikipedia.org/w/index.php?title=Clickjacking&oldid=31192235" sayfasından alınmıştır