✅Clickjacking
Clickjacking Nedir?
Clickjacking, kullanıcıların farkına varmadan gerçekte başka bir içeriğe tıklıyor olmalarını sağlayan bir web güvenlik saldırısı türüdür. Bu teknik, zararlı içeriği şeffaf veya görünmez bir iframe ile gizleyerek ve kullanıcının güvenilir bir elemente tıklamasını bekleyerek gerçekleştirilir. Kullanıcı niyeti dışında farklı işlemler yapabilir ve bu da güvenlik açıklarına yol açabilir.
Saldırı Yöntemleri
Basit Clickjacking
URL Parametresi ile Clickjacking
FrameBuster Bypass
Clickjacking ile DOM XSS
Multistep Clickjacking
Clickjacking Nasıl Önlenir?
X-Frame
X-Frame-Options başlığı, web sitesi sahibine iframe'lerin veya nesnelerin kullanımı üzerinde kontrol sağlar, böylece bir web sayfasının bir çerçeve içine dahil edilmesi deny yönergesi ile yasaklanabilir.
Alternatif olarak çerçeveleme, sameorigin yönergesi kullanılarak web sitesiyle aynı kaynakla sınırlandırılabilir.
Veya allow-from yönergesini kullanarak bir web sitesi ile sınırlandırabilirsiniz.
CSP
Content Security Policy (CSP), XSS ve clickjacking gibi saldırılara karşı koruma sağlayan bir tespit ve önleme mekanizmasıdır. CSP genellikle web sunucusunda formun bir dönüş başlığı olarak uygulanır.
Araçlar
Burp Clickbandit
Clickjacker
Link: https://clickjacker.io/
Kaynaklar
Portswigger Academy: https://portswigger.net/web-security/clickjacking
Last updated