Anasayfa Deneyim Clickjacking Nedir? Nasıl Çalışır?

Clickjacking Nedir? Nasıl Çalışır?

Yazan Can Cankıran

Clickjacking dediğimiz yöntem özellikle sosyal plaftormlarda kullanıcılara kendini ilgi çekici bir link yada içerik olarak gösteren kısacası sempatik bir görünümle onu avlayan ve kullanan zararlı bir yönlendirme mantığıyla çalışan sistemdir. Yani görünenin arkasında kaynak kodunda gizlenen hedef yönlendirme olarak işlev gören, tıklandığında kimlik bilgilerinize erişen , herhangi bir para aktarımına onay vermenizi sağlayan yada herhangi bir online ürünü satın almanıza sebep olacak bir çok şey içerebilir.

Aslında Clickjacking, kullanıcının bulunduğu sayfa üzerinde görünmeyen , iframe içersinde çalışan html öğesinden faydalanır. İframe dediğimiz sayfa içersinde farklı bir sayfanın işlev görmesi diyebiliriz. Siz görünen kısımla etkileşime geçersiniz fakat bu durum sizi bilmediğiniz bir yere yönlendirir.

Apaçık bir örnek gerekirse sizin ziyaret etmek istemediğiniz bağlantı size ziyaret edebileceğiniz bir hedef haline dönüşürse, örnek olarak bir banka hesabının para transferini onaylama yetkisi vereceğiniz anlamına gelebilir.

Likejacking – tekniği sizinde pek yabancı olmadığınız Facebook ‘un Like yani Beğeni butonunu kullanarak sizin yada bir başkasının istemeden farklı sayfaları beğenmesine yol açan yöntemdir.

Cursorjacking – tekniği UI redressing olarak anlamlandırdığımız kullanıcının sayfalarda gezerken, sayfa arayüzünde fare imlecini izleyen bir yöntemdir. Siz A noktasına fokuslanırken, sizi aslında B noktasına çoktan yönlendirmiştir. Sizi istediği yönle etkileşime girmeye zorlayan bir sistemdir. Mozilla Firefox üzerinde bulunan FLASH destekli bir açıktı ve düzeltildi.

Clickjacking Saldırısını Örneklendirelim

  1. Saldırgan önce hedeflediği kullanıcıya çok çekici gelebilecek bir sayfa hazırlar. Kullanıcı Tahiti’ye ücretsiz bir yolculuk ve tatil yapma imkanına sahip olabileceğine inanırsa Clickjacking tam olarak gerçekleşmiş olur.
  2. Herhangi para transferi yapan bir kullanıcı yem olarak, hedef banka sayfasına erişim sağladığında saldırgan tarafından kullanıcının kendisine bankanın sağlayacağı transfer ekranı yansıtılır.
  3. Banka havalesi yaptığınızı varsayın, iframe içersinde gizlenmiş bir banka transferini onaylayan buton var ve bu size halihazırda masum görünen bir “Hediyeni Al” gibi bir yöntemle sunulur. Aslında siz buraya tıkladığınızda para aktarımını onaylamış olacaksınız.
  4. Ücretsiz seyahat araması yapmak istiyorsanız ve karşınıza ücretsiz rezervasyon yapmanıza olanak sağlayacak bir buton geldiyse yem olabilirsiniz.
  5. “Ücretsiz Hediye Al” adı altında size bir fırsat doğrultulmuştur ve bu durumda içeriği gözden geçirip detaylıca bilgi almak için o anda herhangi bir isteğinize onay verecek bir gizli iframe yönlendirmesinin saldırısına uğruyorsunuzdur.
Burada kullanıcı kendisine gelen kötü amaçlı yönlendirme adresine(banka sayfası aktif iken) birşekilde tıkladığında Clickjacking gerçekleşmiş olur ve buradan sonra atılan her adım kullanıcının doğru birşekilde kendi rızası ile işlem yaptığını gösterecek ve saldırgan kendini gizlemiş olacaktır.

Clickjacking Önleme


Bu saldırıya karşı alabileceğimiz iki önlem vardır;

Client-side Yöntemi – En yaygın kullanılanı Frame Busting methodudur. Client-side yani kullanıcı tarafında olan bitenlerdir. Bu yöntem bir önlemde olsa kolayca aşılabileceği için tavsiye edilmez.

Server-side Yöntemi – Bir okadar sağlam en yaygın kullanılanı X-Frame-Options dediğimiz yöntemdir. Arka uç dediğimiz sunucu tarafı methodudur. Bil. Güvenlik Uzmanları tarafından önerilen, Clickjacking’den korunmanın etkili bir yoludur.

X-Frame-Options Header’ı ile Clickjacking Önleme

X-Frame-Options header(başlık) yanıtı dediğimiz bir web sayfasındaki HTTP yanıtının bir parçası olarak bir tarayıcının bir <FRAME> veya <İFRAME> etiketinin içinde bir sayfa oluşturmasına izin verilip verilmeyeceğini belirtir.

X-Frame-Options Başlığı için izin verilen 3 temel kural mevcuttur;

DENY – Bu yöntemle mevcut sayfamızın iframe içerisinde çağrılması kısıtlanmış olur.
SAMEORIGIN – Mevcut sayfanın başka bir sayfa içersinde yalnızca geçerli alanda görüntülenmesine olanak sağlar.
ALLOW-FROM URI – Mevcut sayfanın başka bir sayfa içersinde görüntülenmesini sağlar fakat yalnızca belirtilen URI ‘de. Örneğin, www.orneksite.com/frame-sayfası

Clickjacking’den Korunmak için SAMEORIGIN Kullanmak

X-Frame-Options, içerik yayımlayan kullanıcıların kendi yayınladığı içeriklerinin saldırganlar tarafından gizli bir şekilde kullanılmasını engellemesine olanak tanır.

DENY kalıbı, mevcut sayfanın bir çerçevedeki herhangi bir biçimde kullanımını engelleyen en güvenli yöntemdir. Daha sık kullanılan SAMEORIGIN kuralıda geçerli çerçevede sınırlayarak kullanıma olanak sağlar.

X-Frame-Options Kısıtlamaları

Bir web sitesinde SAMEORIGIN kullanımı için X-Frame-Options header’ının her bir sayfa için HTTP yanıtının bir parçası olarak döndürülmesi gerekir yani çarpraz siteler arası uygulanamaz.

X-Frame-Options izin verilen domainlerin/alan adlarının bir beyaz listesini yani whitelist’ını desteklemediği için, aralarında çerçeveli içerik göstermesi gereken çoklu web siteleriyle çalışmaz.

Tek sayfada yalnızca bir kural kullanılabilir. Örneğin, aynı sayfanın hem mevcut web sitesinde hem de harici bir sitede bir çerçeve olarak görüntülenmesi mümkün olmuyor.

ALLOW-FROM kuralı tüm tarayıcılar tarafından desteklenmemekte.

X-Frame-Options Header’ı ise günümüzde çoğu tarayıcıdan desteği kesilmiş bir kuraldır.

Web sayfanız Clickjacking’e Karşı Savunmasız mı?

Sitenizin Clickjacking saldırısına karşı savunmasız olup olmadığını basit bir HTML ile sitenize iframe içersine mevcut sayfa linkinizi ekleyerek anlayabilirsiniz. Bu sıradan bir test etme yöntemidir. Aşağıda da bunun örneğini inceleyebilirsiniz.

<html>
<head>
<title>Clickjacking Test Sayfası</title>
</head>
<body>
<p>Web sayfanız Clickjacking saldırılarına açık!</p>
<iframe src="https://www.websiteniz.com/ornek-sayfa" width="500" height="500"></iframe>
</body>
</html>

Bu kodu girdiğiniz HTML sayfasını tarayıcıda açın.

“Web sayfanız Clickjacking saldırılarına açık” metni görünür ve alt kısımda linki eklenen sayfayı görürseniz, websiteniz Clickjacking’e karşı savunmasızdır.

Yalnızca “Web sayfanız Clickjacking saldırılarına açık!” ifadesi görünürse ve linki eklenen sayfanın içeriğini göremiyorsanız, websiteniz Clickjacking’e karşı savunmasız değildir.

Tabiki bununla beraber, sitede hangi anti-clickjacking yöntemlerinin kullanıldığını ve saldırganlar tarafından aşılıp aşılamayacağını görmek için bir takım ek testler gereklidir. Aynı zamanda site içeriğinizin diğer sitelerde çerçevelenmesini önleyen bir takım yöntemler geliştirilmiştir bunlar WAF dediğimiz ücretli yöntemler sınıfına giriyor. Düşünürseniz sizin için bunları takip edecek,analiz edecek ve engelleyecek sistemlerde mevcut.

İlginizi Çekebilir

Yorum Yap

WhatsApp chat