Clickjacking, bilgisayar korsanları tarafından sıklıkça kullanılan bir güvenlik açığıdır. HTTP Frame güvenlik açığından oluşan bu riskli açık insanların kredi kartı bilgileri dahil bazı istenmedik özel bilgilerini çalabiliyor hatta insanlar haberi dahil olmadan korsanlara otomatik ödeme yapabiliyor. Bu makalemiz de “ClickJacking Nedir?, ClickJacking saldırı örneği, Clickjacking Önlemini alma” gibi başlıklardan bahsedeceğiz.
Clickjacking Nedir?
Clickjacking güvenlik açığının oluşmasına sebep olan önemli etkenlerden birisi de HTTP Requestler de FRAME’yi engellememek. Server Side olarak engelleyip güvenliğimizi alabileceğimiz bu güvenlik açığında bir çok insan mağdur olabiliyor. Bilgisayar Korsanları örnek olarak bir alışveriş sitesini veya bir sosyal medya sitesini hedef alıyor, kullanıcıya bir URL-Link gönderiyor ve kullanıcı tıkladığı andan itaberen eğer JavaScript olarak otomatik butona dokunma kodu enjekte ise kullanıcının sadece linke tıklaması ile birlikte tüm özel bilgileri bilgisayar korsanının eline geçiyor. Kullanıcının bilgisayarına herhangi bir dosya inmediğinden ötürü bazı Antivirüsler bu durum karşısında çaresiz kalmaktadır.
Clickjacking bir E-Ticaret yada benzeri siteleri web yazılımı ile arka planda çalıştırıp ön tarafada sahte bir web scripti yaparak arka planda ki gerçek site de işlem yapılmasını sağlayan bir güvenlik açığıdır.
Clickjacking’in işleyisi basittir, bilgisayar korsanı hedef kişiye bir Link paylaşır ve karşı taraf bu link sonrası mağdur olur. Senaryosunu yapar isek;
ClickJacking Saldırı Örneği
- Bilgisayar korsanı hedef kişiye ücretsiz tatil adlı bir site gönderir kişi tıklar ve önünde ücretsiz tatil kazandınız yazan bir site ile karşılaşır. Hedef kişi sevinir ve tatil bilgilerinin nerede olduğunu gösteren bir butona basar o andan itibaren hiç bir şekilde bir yazı yazmamasına rağmen butona bastığından dolayı banka bilgileri bilgisayar korsanına gidebilir.
- Bilgisayar korsanı JavaScript ile otomatik butonu aktif eden bir kodu kurduğu web yazılımına entegre eder ve hedef kişiye gönderir. Hedef kişi tıkladığı andan itaberen kişinin adresine bir kargo gelir. Bilgisayar korsanı burada bir E-Ticaret sitesine Clickjacking yapmış ve hedef kişi butona basmasa bile otomatik buton aktif edildiğinden arka planda ki E-Ticaret sitesi işleyişe girer.
- Saldırgan kişisel e-posta adresinize,kurumsal e-posta adresinize veya gsm numaranıza ev kazandınız,araba kazandınız,telefon kazandınız hediyeyi almak için linke tıklayın gibi türlü yalanlarla kurbanın kredi kartı bilgilerini ele geçirmesi olasılıktır.
Clickjacking için Nasıl Önlem Alınır?
Clickjacking Önlemini almanın en faydalı yolu Server-Side korumadır. Client-Side koruma da vardır fakat hiç bir şekilde güvenlik sağlamamaktadır artık bilgisayar korsanları client-side korumaları geçebilmekte (Bypass) koruması sıfıra indirilmektedir.
Server-Side Koruma: HTTP İstek bilgileri içinde bulunan X-FRAME-OPTIONS methodunu deaktif ederek bu saldırıyı önleyebilirsiniz bunun için clickjacking yapılan sitenin webmasterı olmak zorundasınız.
Bir yorum bırakınız...