Clickjacking(UI redressing) Saldırıları

Clickjacking(UI redressing), kullanıcıların farkında olmadan tıklama yapması için kullanılan bir arayüz saldırı tekniğidir. Clickjacking farklı şekillerde oluşturulabilir ancak en bilindik olan modeli, frame’in görünmez hale getirilerek asıl içeriğin üzerine eklenmesi ile kullanıcının görünmez alana tıklamasını sağlamaktır. Kullanıcılar bu görünmez frame’e (çerçeve) tıkladıkları anda clickjacking saldırısına maruz kalmış olurlar.

Clickjacking saldırısı, sonuçlarına göre farklı isimlerle adlandırılabiliyor. Örneğin; Facebook üzerindeki bir clickjacking saldırısı ile bir saldırganın kendi belirlediği gönderi için beğeni toplaması Likejacking, kullanıcının imlecini farklı bir pozisyona yönlendiren başka bir UI redressing tekniği ise Cursorjacking olarak adlandırılıyor. (Not: Cursorjacking, Mozilla Firefox üzerinde bulunan FLASH destekli bir zafiyetten kaynaklanıyordu ve geliştiriciler tarafından giderildi.)

Basit Clickjack Örneği:

Aşağıda örnek olarak verilen kodda

<iframestyle=”height: 1440px; width: 720px;” src=”zafiyetlisite.com.tr/”></iframe>

“iframe” tagları arasında src parametresine zafiyetlisite.com.tr adresi verilerek clickjack saldırısı için hedef alınmıştır.

<html>

<body>

<iframestyle=”height: 1440px; width: 720px;” src=”https://zafiyetlisite.com.tr/”></iframe>

</body></html>

Write a Comment

E-posta hesabınız yayımlanmayacak.