Benzer Konular
Birçok kişinin yaşamış ancak duymamış olduğu bir hack sistemi clickjacking nedir? Nasıl ortaya çıkmıştır ve nasıl korunulur?
Clickjacking nedir?
Clickjacking, teknik açıdan kullanıcıyı yanıltmak için opaklık değeri 0 olan bir ögeyi, kullanıcının istemi ile tıklayacağı bir hale getirerek kullanıcıyı tuzağa düşürmektir. Buna sahte alışveriş fırsatlarından dosya indirme sitelerine kadar pek çok örnek verilebilir.
Diğer türlerden en büyük farkı ise bunu yapmak için fazla bir bilgiye ihtiyaç olmamasıdır. Çünkü her web sayfası sahibi clickjacking eylemini sitesine yerleştirebilir. Genelde bu tür saldırılar ufak saldırılar olarak geçmekte ve web sayfası sahibinin reklamlarına sizi yöneltir.
Ancak, daha büyük clickjacking saldırılarında verilen hasar bundan çok fazladır. Tüm bilgileriniz karşı tarafa gidebilir, banka ya da kredi kartınızdan para çekilebilir, her ne kadar büyük ölçüde engellense de sosyal medya hesaplarınızda paylaşım yapılabilir.
Clickjacking'in ortaya çıkışı
İlk kez 2002 yılında ortaya atıldıktan sonra pek çok defa dile getirilse bile 2008 senesine değin çok fazla önemsenmedi. Ta ki, Jeremy Grossman ve Robert Hansen kişisel bir kullanıcı bilgisayarında clickjacking kullanarak Flash Player izinlerini elde edene dek. Bu tarihten itibaren öncelik Microsoft olmak üzere pek çok firma önlemini aldı.
Clickjacking, Frame Busting gibi yöntemlerle savuşturulmaya çalışılsa da en etkili çözüm 2009 yılında Microsoft'dan geldi. Internet Explorer 8 tarayıcısı ile birlikte bu işin köküne kibrit suyu döken Microsoft, X-Frame-Options HTTP yanıtını tarayıcıya ekledi. Peşi sıra tüm büyük tarayıcıda desteklenen X-Frame-Options başlığı hakkında bir RFC standardı ise 7034 kodu ile 2013 yılında yayınlandı.
Clickjacking'ten kaçınma
Bu saldırıya karşı alabileceğimiz iki önlem vardır;
Client-side Yöntemi – En yaygın kullanılanı Frame Busting methodudur. Client-side yani kullanıcı tarafında olan bitenlerdir. Bu yöntem bir önlemde olsa kolayca aşılabileceği için tavsiye edilmez.
Server-side Yöntemi – Bir okadar sağlam en yaygın kullanılanı X-Frame-Options dediğimiz yöntemdir. Arka uç dediğimiz sunucu tarafı methodudur. Bil. Güvenlik Uzmanları tarafından önerilen, Clickjacking’den korunmanın etkili bir yoludur.
X-Frame-Options Header’ı ile Clickjacking Önleme
X-Frame-Options ile tarayıcı sekmesi içerisinde <IFRAME> ve <FRAME> etiketlerinin çalışmasına izin verip izin verilmeyeceğini belirler. Bu etiket ile 3 şekilde clickjacking'den korunabilir.
DENY – Bu yöntemle mevcut sayfamızın iframe içerisinde çağrılması kısıtlanmış olur.
SAMEORIGIN – Mevcut sayfanın başka bir sayfa içerisinde yalnızca geçerli alanda görüntülenmesine olanak sağlar.
ALLOW-FROM URI – Yalnızca belirtilen URI ‘de mevcut sayfanın başka bir sayfa içerisinde görüntülenmesini sağlar.
En güvenli ve katı kuralları yöntem olarak DENY yöntemi kullanılabilirken genelde SAMEORIGIN kuralı kullanılmaktadır.
https://www.netsparker.com.tr/blog/web-guvenligi/clickjacking-bastigin-yerleri-buton-diyerek-gecme/
https://www.cancankiran.com/clickjacking-nedir-nasil-calisir/
