ClickJacking
hazirlayan : BraveHeart
ClickJacking
OWASP (Open Web Application Security Project) tarafindan incelenen ve detaylariyla olmasa da tarayicilarin zafiyetlerinden kaynaklandigi belirtilen “Clickjacking” tam manasiyla günümüze yansimamistir. Genel anlamda Adobe ve Browser üzerinden saldiri durumuna geçilen açik Adobe ve Browser sahiplerinin ricalari üzerine açiklanmamis sadece bir bölümü belirtilmistir.
Genel anlami ile Clickjacking kullanici kandirma esasli “frame” saldirisi gibi görünmektedir.Fakat Güvenlik uzmanlarinin görüslerine göre ClickJacking yolladiginiz link üzerinden Attackerlerin kullanicilari rahatlikla takip etmesidir.
Browser üzerinde Javascript kontrollerini kaldirmak Clickjacking engelini asmak anlamina gelmemektedir. LYNX Tabanli browserlar hariç bütün browser’lar saldiriya maruz kalmaktadirlar.
Attack Modülü:
Internet üzerinden bir bilmediginiz sayfada bir “klik” yapmaniz bile saldiriya maruz kalabiliyorsunuz anlamina gelmektedir. Attacker’in size sundugu ön sayfa’nin arka plan’ina
habersiz olarak bir sayfa yerlestirebiliyor ve ön sayfa aldatmacasi ile sizlere istedigi islemi yaptirabiliyor.CJ farkli açiklar gibi gelistirilmistir.Fakat en önemli noktasi olarak sizlere bir linkle örnek verecegim.
http://www.volkanbilgili.com/bug/cj.html
Bu örnekte verdigim siteye girdiginizde ön sayfada “Gri” bir HTML sayfa ile karsilasirsiniz fakat arka sayfada farkli bir site oldugunu görebilirsiniz.Alttaki “Görünmezlik” Butonlarina tikladiginizda görebilirsiniz.
Simdi düsünün açigin tehlike asamasini Attacker web sayfalarinin belirli bölümlerini kendine açik olarak görebilir ve kullanabilirler.Verdigim sayfadaki Kaynak kodlariyla CJ örnek kodlamasinin bir bölümüne ulasabilirsiniz.
CJ Security:
Açigin olusumu ve çikisindan itibaren OWASP yetkilileri ve gönüllüleri “PATCH” bulunmadigini ifade etmektedirler.Fakat “NOSCRIPT” ile açiktan bir nebzede olsa korunmak mümkündür.
NOSCRIPT ile %100 korunma saglamak için “Plugins/Forbid” Seçenegini Isaretlemelisiniz.
Farkli Örnekler:
http://guya.net/security/clickjacking/game.html
ClickJacking
OWASP (Open Web Application Security Project) tarafindan incelenen ve detaylariyla olmasa da tarayicilarin zafiyetlerinden kaynaklandigi belirtilen “Clickjacking” tam manasiyla günümüze yansimamistir. Genel anlamda Adobe ve Browser üzerinden saldiri durumuna geçilen açik Adobe ve Browser sahiplerinin ricalari üzerine açiklanmamis sadece bir bölümü belirtilmistir.
Genel anlami ile Clickjacking kullanici kandirma esasli “frame” saldirisi gibi görünmektedir.Fakat Güvenlik uzmanlarinin görüslerine göre ClickJacking yolladiginiz link üzerinden Attackerlerin kullanicilari rahatlikla takip etmesidir.
Browser üzerinde Javascript kontrollerini kaldirmak Clickjacking engelini asmak anlamina gelmemektedir. LYNX Tabanli browserlar hariç bütün browser’lar saldiriya maruz kalmaktadirlar.
Attack Modülü:
Internet üzerinden bir bilmediginiz sayfada bir “klik” yapmaniz bile saldiriya maruz kalabiliyorsunuz anlamina gelmektedir. Attacker’in size sundugu ön sayfa’nin arka plan’ina
habersiz olarak bir sayfa yerlestirebiliyor ve ön sayfa aldatmacasi ile sizlere istedigi islemi yaptirabiliyor.CJ farkli açiklar gibi gelistirilmistir.Fakat en önemli noktasi olarak sizlere bir linkle örnek verecegim.
http://www.volkanbilgili.com/bug/cj.html
Bu örnekte verdigim siteye girdiginizde ön sayfada “Gri” bir HTML sayfa ile karsilasirsiniz fakat arka sayfada farkli bir site oldugunu görebilirsiniz.Alttaki “Görünmezlik” Butonlarina tikladiginizda görebilirsiniz.
Simdi düsünün açigin tehlike asamasini Attacker web sayfalarinin belirli bölümlerini kendine açik olarak görebilir ve kullanabilirler.Verdigim sayfadaki Kaynak kodlariyla CJ örnek kodlamasinin bir bölümüne ulasabilirsiniz.
CJ Security:
Açigin olusumu ve çikisindan itibaren OWASP yetkilileri ve gönüllüleri “PATCH” bulunmadigini ifade etmektedirler.Fakat “NOSCRIPT” ile açiktan bir nebzede olsa korunmak mümkündür.
NOSCRIPT ile %100 korunma saglamak için “Plugins/Forbid” Seçenegini Isaretlemelisiniz.
Farkli Örnekler:
http://guya.net/security/clickjacking/game.html
Bug Researchers - BraveHeart
