Clickjacking Saldırısı Nedir? Nasıl Önlem Alınır? ∞

Clickjacking Saldırısı Nedir? Nasıl Önlem Alınır?

Clickjacking, bilgisayar korsanları tarafından sıklıkça kullanılan bir güvenlik açığıdır. HTTP Frame güvenlik açığından oluşan bu riskli açık insanların kredi kartı bilgileri dahil bazı istenmedik özel bilgilerini çalabiliyor hatta insanlar haberi dahil olmadan korsanlara otomatik ödeme yapabiliyor. Bu makalemiz de “ClickJacking Nedir?, ClickJacking saldırı örneği, Clickjacking Önlemini alma” gibi başlıklardan bahsedeceğiz.

Clickjacking

 Clickjacking Nedir?

Clickjacking güvenlik açığının oluşmasına sebep olan önemli etkenlerden birisi de HTTP Requestler de FRAME’yi engellememek. Server Side olarak engelleyip güvenliğimizi alabileceğimiz bu güvenlik açığında bir çok insan mağdur olabiliyor. Bilgisayar Korsanları örnek olarak bir alışveriş sitesini veya bir sosyal medya sitesini hedef alıyor, kullanıcıya bir URL-Link gönderiyor ve kullanıcı tıkladığı andan itaberen eğer JavaScript olarak otomatik butona dokunma kodu enjekte ise kullanıcının sadece linke tıklaması ile birlikte tüm özel bilgileri bilgisayar korsanının eline geçiyor. Kullanıcının bilgisayarına herhangi bir dosya inmediğinden ötürü bazı Antivirüsler bu durum karşısında çaresiz kalmaktadır.

Clickjacking bir E-Ticaret yada benzeri siteleri web yazılımı ile arka planda çalıştırıp ön tarafada sahte bir web scripti yaparak arka planda ki gerçek site de işlem yapılmasını sağlayan bir güvenlik açığıdır.

Clickjacking’in işleyisi basittir, bilgisayar korsanı hedef kişiye bir Link paylaşır ve karşı taraf bu link sonrası mağdur olur. Senaryosunu yapar isek;

ClickJacking Saldırı Örneği

  • Bilgisayar korsanı hedef kişiye ücretsiz tatil adlı bir site gönderir kişi tıklar ve önünde ücretsiz tatil kazandınız yazan bir site ile karşılaşır. Hedef kişi sevinir ve tatil bilgilerinin nerede olduğunu gösteren bir butona basar o andan itibaren hiç bir şekilde bir yazı yazmamasına rağmen butona bastığından dolayı banka bilgileri bilgisayar korsanına gidebilir.
  • Bilgisayar korsanı JavaScript ile otomatik butonu aktif eden bir kodu kurduğu web yazılımına entegre eder ve hedef kişiye gönderir. Hedef kişi tıkladığı andan itaberen kişinin adresine bir kargo gelir. Bilgisayar korsanı burada bir E-Ticaret sitesine Clickjacking yapmış ve hedef kişi butona basmasa bile otomatik buton aktif edildiğinden arka planda ki E-Ticaret sitesi işleyişe girer.
  • Saldırgan kişisel e-posta adresinize,kurumsal e-posta adresinize veya gsm numaranıza ev kazandınız,araba kazandınız,telefon kazandınız hediyeyi almak için linke tıklayın gibi türlü yalanlarla kurbanın kredi kartı bilgilerini ele geçirmesi olasılıktır.

şifre çalma

 Clickjacking için Nasıl Önlem Alınır?

Clickjacking Önlemini almanın en faydalı yolu Server-Side korumadır. Client-Side koruma da vardır fakat hiç bir şekilde güvenlik sağlamamaktadır artık bilgisayar korsanları client-side korumaları geçebilmekte (Bypass) koruması sıfıra indirilmektedir.

Server-Side Koruma: HTTP İstek bilgileri içinde bulunan X-FRAME-OPTIONS methodunu deaktif ederek bu saldırıyı önleyebilirsiniz bunun için clickjacking yapılan sitenin webmasterı olmak zorundasınız.

Bir yorum bırakınız...

*

keyword

Anahtar Kelime Analizi Nedir, Nasıl Yapılır?

İnternet kullanıcılarının internet üzerinde arattıkları terimleri bulmak ve bunları SEO stratejilerinde kullanmak için gerçekleştirilen çalışmaya anahtar kelime analizi denir. Web sitesi oluşturmak isteyenlerin anahtar ...
Python ile Basit Reactive AI Geliştirme

Python ile Basit Reactive AI Geliştirme

Günümüzde gittikçe daha çok ivme kazanan yapay zeka uygulamaları, şirketler kadar kendi yapay zeka uygulamalarını yazmak isteyenlerin de ilgi odağı haline geliyor. Python hakkında ...
pyhton flask

Python Flask Nedir ve Python Flask ile Web Geliştirme

Python ile uygulama geliştirme dendiğinde akla genellikle konsol uygulamaları, veri uygulamaları ve yapay zeka gelir, ancak Python dilinin yoğun olarak kullanıldığı alanlardan birisi de ...

Microsoft Copilot Nedir ve Nasıl Kullanılır?

Microsoft Copilot, Microsoft'un Windows, Edge, mobil ve Office 365 için yapay zeka aracıdır. Yapay zekanın gelişmesi ve OpenAI GPT'nin popüler olması ile birlikte teknoloji ...
Gmail akıllı yazma

G-mail Akıllı Yazma Özelliğini Açma Kapatma

Akıllı yazma aracı, e-mailler için otomatik tamamlama gibi çalışır. E-maillerin nasıl yazılacağını öğrenir ve cümlelerin tamamlanmasını sağlar. E-mail metinlerinin hızlıca oluşmasını sağlar. Yazarken öneriler ...
IMAP

İmap Nedir? İmap Kullanımının Faydaları

Birçok insan imap nedir bilmemektedir. Gerek günlük hayatta gerekse iş hayatında e-mail kullanımı çok önemlidir. E-mail protokolü sayesinde kişiler her cihazdan e-mailerini kontrol edebilir, ...
mac windows

Mac vs Windows Bilgisayar Özet Karşılaştırma

Bilgisayar teknolojisi, günümüzde büyük ölçüde Windows ve Mac işletim sistemleri üzerine odaklanmış durumda. Her iki işletim sistemi de benzersiz özelliklere ve kullanıcı deneyimine sahiptir ...
Gmail görev oluşturma

G-mail Görev Oluşturma G-mail Alanlar Düzenleme

G-Mail’den görev oluşumu çok basittir. Öncelikle, G-Mail hesabına giriş yaparak, sağ üstteki alan "Görevler"e tıklanmalıdır. Açılacak pencerede, yeni görevin eklenebilmesi için "Görev Ekle"ye tıklanmalıdır ...
MAPI EWS

MAPI EWS Nedir Ne İşe Yarar Ne Amaçla Kullanılır?

Teknolojinin gelişim göstermesi ile birlikte MAPI EWS nedir ne amaçla kullanılır pek çok kişi tarafından merak edilmektedir. İnternet önemli iletişim kaynaklarındandır. Gere iş alanlarında ...
Shopify

Shopify DNS Yönlendirmesini Yapmak Adım Adım

Sahip olduğunuz alan adını Shopify’e yönlendirmek istediğinizde hangi işlemleri gerçekleştirmeniz gerektiğini merak ediyor olabilirsiniz. Shopify DNS Yönlendirmesini Yapmak Adım Adım aktaracağımız bu yazımız sizler ...