Clickjacking Atak Nedir ?

Ana Sayfa » Application Security » Clickjacking Atak Nedir ?

Clickjacking, web uygulamalarında kullanıcıların habersiz bir şekilde, saldırgan tarafından belirlenmiş işlemleri yapmasına neden olan ciddi bir güvenlik açığıdır. Bu saldırı, kullanıcı arayüzünü manipüle ederek gerçekleştirilir ve genellikle hassas işlemler, kimlik doğrulama süreçleri, ödeme işlemleri veya hesap yönetimi gibi kritik görevleri hedef alır. Clickjacking saldırıları, iframe teknolojisi kullanılarak ve kullanıcıları yanıltmak amacıyla çeşitli sosyal mühendislik teknikleri ile birleştirilir.

Clickjacking

Clickjacking Nasıl Çalışır?

Clickjacking, kullanıcıların bir web sayfasında tıkladıkları butonlar veya bağlantıların aslında saldırgan tarafından yönetilen başka işlemleri tetiklemesi üzerine kurulu bir saldırı tekniğidir. Bu saldırı genellikle saydam veya görünmez iframe’ler aracılığıyla yapılır. Saldırgan, hedef web sitesini kendi zararlı sayfasının içerisine gizleyerek kullanıcının yanlış bir işlem gerçekleştirmesini sağlar.

Adımlar:
  1. Iframe Entegrasyonu: Saldırgan, kurbanın etkileşimde bulunmasını istediği meşru web sitesini kendi sayfasında iframe içinde gösterir.
  2. Görünmez Katmanlar: Şeffaf veya görünmeyen katmanlar kullanılarak kullanıcının neye tıkladığı manipüle edilir.
  3. Yanıltıcı Arayüz: Kullanıcı, gerçek bir işlem yaptığını düşünürken, gerçekte saldırganın belirlediği işlemi (örneğin gizlice sosyal medya paylaşımı yapma veya banka hesabında işlem gerçekleştirme) başlatır.

Clickjacking Türleri

Clickjacking saldırıları, çeşitli amaçlara hizmet eden farklı tekniklerle uygulanabilir. En sık karşılaşılan türler şunlardır:

  1. Likejacking: Kullanıcıları farkında olmadan bir sosyal medya gönderisini beğenmeleri veya paylaşmaları için manipüle eder. Genellikle viral kampanyalar veya sosyal medya hesaplarının ele geçirilmesi için kullanılır.
  2. Cursorjacking: Fare imlecinin görünümünü değiştirerek kullanıcıyı yanıltır. Bu yöntem, kullanıcının tıkladığı yer ile imlecin gerçek pozisyonu arasındaki uyumsuzluktan faydalanır.
  3. Form Hijacking: Kullanıcının hassas bilgilerini (örneğin kredi kartı bilgileri veya şifreler) ele geçirmeyi hedefler. Formun üzerine gizlenmiş bir katman eklenir ve kullanıcının tıkladığı her işlem, saldırgan tarafından yönlendirilir.
  4. File Download Hijacking: Kullanıcıyı farkında olmadan kötü amaçlı bir dosya indirmeye zorlar. Görünürde bir dosya indirme butonu gibi görünen bir bağlantı, kullanıcının sistemine zararlı yazılım yükleyebilir.

Güvenlik Tehditleri

Clickjacking saldırıları, farklı senaryolarda çeşitli güvenlik risklerine yol açabilir:

  • Yetkisiz Erişim ve Kimlik Avı: Kullanıcılar, farkında olmadan hesaplarına giriş yapabilir veya oturum açabilir, bu da saldırganın yetkisiz erişim elde etmesine olanak tanır.
  • Kişisel Verilerin Ele Geçirilmesi: Form hijacking yoluyla kullanıcının hassas bilgileri (örneğin kredi kartı bilgileri) ele geçirilebilir.
  • Sosyal Medya Manipülasyonu: Likejacking saldırıları, kullanıcıların sosyal medya hesaplarındaki etkileşimlerini manipüle ederek saldırganın istediği içeriklerin yayılmasını sağlar.

Clickjacking’e Karşı Korunma Yöntemleri

Clickjacking saldırılarına karşı etkili bir savunma için bir dizi güvenlik önlemi alınabilir. Bu önlemler, genellikle HTTP başlıkları ve güvenlik politikaları ile sağlanır.

1. X-Frame-Options HTTP Başlığı

Bu başlık, bir web sayfasının başka bir sayfada iframe içinde yüklenmesini engelleyerek clickjacking saldırılarına karşı koruma sağlar. X-Frame-Options, aşağıdaki iki seçenekle yapılandırılabilir:

  • DENY: Sayfanın hiçbir durumda iframe içinde görüntülenmesine izin vermez.
  • SAMEORIGIN: Sayfanın yalnızca aynı orijinden gelen (aynı alan adı ve protokol) bir sayfada iframe ile yüklenmesine izin verir.
2. Content Security Policy (CSP)

CSP’nin frame-ancestors direktifi, hangi kaynakların bir sayfayı iframe içinde yükleyebileceğini belirler. Örneğin:

Content-Security-Policy: frame-ancestors 'self' https://www.irfankocak.com;

Bu ayar, sayfanın sadece kendi kendine ('self') veya güvenilir bir kaynak tarafından iframe içinde görüntülenmesine izin verir.

3. UI Redress Koruma Mekanizmaları

UI redressing tekniklerine karşı, kullanıcıdan işlem öncesi doğrulama istemek etkili bir savunma yöntemidir. Örneğin, CAPTCHA gibi doğrulama yöntemleri kullanılarak, önemli işlemler yapılmadan önce kullanıcının gerçekten bu işlemi gerçekleştirmek istediği doğrulanabilir.

4. JavaScript ile Koruma Yöntemleri

Sayfanın iframe içinde olup olmadığını JavaScript ile kontrol etmek mümkündür. Eğer bir sayfa başka bir sayfa içinde iframe olarak yüklenmişse, işlem durdurulabilir veya sayfa yeniden yönlendirilebilir:

if (window.self !== window.top){
// Sayfa iframe içinde yüklendiyse, yeniden yönlendirme yapılır
window.top.location = window.self.location;
}

Clickjacking Saldırılarını Tespit Etme Yöntemleri

Clickjacking saldırılarını tespit etmek için manuel ve otomatik yöntemler kullanılabilir. Bu saldırıların tespiti, güvenlik başlıklarının doğru yapılandırılıp yapılandırılmadığını kontrol etmekle başlar.

  1. Manuel Testler: Sayfanın X-Frame-Options başlığının doğru şekilde ayarlandığı ve iframe içinde doğru davranışı sergileyip sergilemediği manuel olarak test edilebilir.
  2. Otomatik Güvenlik Taramaları: OWASP ZAP veya Burp Suite gibi araçlar kullanılarak, iframe yapılandırmaları otomatik olarak analiz edilip clickjacking açıklıkları tespit edilebilir.

Clickjacking saldırıları, kullanıcıları aldatmaya yönelik sofistike tekniklerle uygulanan bir tehdit türüdür. Bu tür saldırılara karşı X-Frame-Options ve CSP gibi HTTP başlıkları kullanılarak koruma sağlanabilir. Ayrıca, kullanıcı arayüzünün doğru ve güvenilir bir şekilde korunması için JavaScript tabanlı denetimler ve CAPTCHA doğrulamaları gibi yöntemler benimsenmelidir. Geliştiricilerin düzenli olarak güvenlik testleri yapması ve güvenlik politikalarını güncel tutması, clickjacking gibi saldırılara karşı etkili bir savunma sağlar.

Clickjacking Atak Nedir ? - Yorumlar

YORUMLARINIZI PAYLAŞIN

 

Yapılan Yorumlar

BENZER İÇERİKLERİlginizi çekebilecek diğer içerikler

DevSecOps Nedir?

DevSecOps Nedir? 04 Aralık 2024

Web Uygulama Güvenliği

Web Uygulama Güvenliği 04 Kasım 2024

www.irfankocak.com

İrfan KOÇAK - Tüm Hakları Saklıdır