Clickjacking Saldırısı ve Korunma Yöntemleri

Basitçe web sitelerinde kullanıcıların link gömülü görünmeyen bir sayfa elementine tıklamalarıyla farkında olmadan istemedikleri işlemlerin yaptırılmasına Clickjacking denir.

Aşağıdaki örnekte kullanıcının gördüğü indirme sayfası ve bir indirme butonu ancak tüm sayfayı kaplayan bir iframe elementi saydam bir şekilde sayfaya eklenmiş. Saldırganın istediği kullanıcının sayfada herhangi bir yere tıklaması ve kullanıcı indir butonuna tıklayınca saldırganın istediği gerçekleşecek.

Burada saldırgan görünmez linki tüm sayfayı kaplayacağı şekilde yapmış ancak sadece kullanıcı etkileşimi olan bölgeleri kullanarak da (buton, girdi elemanları vs) yapılabilir.

Saldırı, kimlik bilgilerinin çalınması, kötü amaçlı yazılım yüklenmesi, saçma sapan sitelere yönlendirilmesi veya sosyal medya hesaplarının takip ettirilmesi gibi sonuçlar doğurabilir.

Korunma Yöntemleri

Kullanıcının bu saldırıdan en iyi korunma yöntemi bilmediği linklere tıklamamasıdır. Bir diğer alabileceği önlem de NoScript gibi eklentileri tarayıcıya yüklemektir. Bu eklentiler saydam şekilde bulunan linkleri engelleme özelliğine sahiptir.

Site sahiplerinin ise kullanıcıları bu saldırıdan korunmaları için uygulayacakları en iyi yöntem HTTP Response Header’larına X-Frame-Options eklemektir. 3 türlü kullanılabilir:

X-Frame-Options: DENY (içeriğin bir <frame>,<iframe>,<embed> veya <object>’ten yüklenmesini durdurur)

X-Frame-Options: SAMEORIGIN (sadece mevcut sitedeki frame’lere izin verir)

X-Frame-Options: ALLOW-FROM https://site.com/ (sadece URL’deki frame’lere izin verir.)

Son olarak bu saldırıdan korunmada site sahiplerine daha çok iş düştüğünü de unutmayın.

 

 

About The Author

Reply