ServerErr0r
uid=0(root)
- Katılım
- 12 Eyl 2009
- Mesajlar
- 2,330
- Reaction score
- 0
- Puanları
- 0
ClickJacking
OWASP (Open Web Application Security Project) tarafından incelenen ve detaylarıyla olmasa da tarayıcıların zafiyetlerinden kaynaklandığı belirtilen “Clickjacking” tam manasıyla günümüze yansımamıştır. Genel anlamda Adobe ve Browser üzerinden saldırı durumuna geçilen açık Adobe ve Browser sahiplerinin ricaları üzerine açıklanmamış sadece bir bölümü belirtilmiştir.
Genel anlamı ile Clickjacking kullanıcı kandırma esaslı “frame” saldırısı gibi görünmektedir.Fakat Güvenlik uzmanlarının görüşlerine göre ClickJacking yolladığınız link üzerinden Attackerlerin kullanıcıları rahatlıkla takip etmesidir.
Browser üzerinde Javascript kontrollerini kaldırmak Clickjacking engelini aşmak anlamına gelmemektedir. LYNX Tabanlı browserlar hariç bütün browser’lar saldırıya maruz kalmaktadırlar.
Attack Modülü:
İnternet üzerinden bir bilmediğiniz sayfada bir “klik” yapmanız bile saldırıya maruz kalabiliyorsunuz anlamına gelmektedir. Attacker’in size sunduğu ön sayfa’nın arka plan’ına
habersiz olarak bir sayfa yerleştirebiliyor ve ön sayfa aldatmacası ile sizlere istediği işlemi yaptırabiliyor.CJ farklı açıklar gibi geliştirilmiştir.Fakat en önemli noktası olarak sizlere bir linkle örnek vereceğim.
http://guya.net/security/clickjacking/game.html
Bu örnekte verdiğim siteye girdiğinizde ön sayfada “Gri” bir HTML sayfa ile karşılaşırsınız fakat arka sayfada farklı bir site olduğunu görebilirsiniz.Alttaki “Görünmezlik” Butonlarına tıkladığınızda görebilirsiniz.
Şimdi düşünün açığın tehlike aşamasını Attacker web sayfalarının belirli bölümlerini kendine açık olarak görebilir ve kullanabilirler.Verdiğim sayfadaki Kaynak kodlarıyla CJ örnek kodlamasının bir bölümüne ulaşabilirsiniz.
CJ Security:
Açığın oluşumu ve çıkışından itibaren OWASP yetkilileri ve gönüllüleri “PATCH” bulunmadığını ifade etmektedirler.Fakat “NOSCRİPT” ile açıktan bir nebzede olsa korunmak mümkündür.
NOSCRİPT ile %100 korunma sağlamak için “Plugins/Forbid” Seçeneğini İşaretlemelisiniz.
OWASP (Open Web Application Security Project) tarafından incelenen ve detaylarıyla olmasa da tarayıcıların zafiyetlerinden kaynaklandığı belirtilen “Clickjacking” tam manasıyla günümüze yansımamıştır. Genel anlamda Adobe ve Browser üzerinden saldırı durumuna geçilen açık Adobe ve Browser sahiplerinin ricaları üzerine açıklanmamış sadece bir bölümü belirtilmiştir.
Genel anlamı ile Clickjacking kullanıcı kandırma esaslı “frame” saldırısı gibi görünmektedir.Fakat Güvenlik uzmanlarının görüşlerine göre ClickJacking yolladığınız link üzerinden Attackerlerin kullanıcıları rahatlıkla takip etmesidir.
Browser üzerinde Javascript kontrollerini kaldırmak Clickjacking engelini aşmak anlamına gelmemektedir. LYNX Tabanlı browserlar hariç bütün browser’lar saldırıya maruz kalmaktadırlar.
Attack Modülü:
İnternet üzerinden bir bilmediğiniz sayfada bir “klik” yapmanız bile saldırıya maruz kalabiliyorsunuz anlamına gelmektedir. Attacker’in size sunduğu ön sayfa’nın arka plan’ına
habersiz olarak bir sayfa yerleştirebiliyor ve ön sayfa aldatmacası ile sizlere istediği işlemi yaptırabiliyor.CJ farklı açıklar gibi geliştirilmiştir.Fakat en önemli noktası olarak sizlere bir linkle örnek vereceğim.
http://guya.net/security/clickjacking/game.html
Bu örnekte verdiğim siteye girdiğinizde ön sayfada “Gri” bir HTML sayfa ile karşılaşırsınız fakat arka sayfada farklı bir site olduğunu görebilirsiniz.Alttaki “Görünmezlik” Butonlarına tıkladığınızda görebilirsiniz.
Şimdi düşünün açığın tehlike aşamasını Attacker web sayfalarının belirli bölümlerini kendine açık olarak görebilir ve kullanabilirler.Verdiğim sayfadaki Kaynak kodlarıyla CJ örnek kodlamasının bir bölümüne ulaşabilirsiniz.
CJ Security:
Açığın oluşumu ve çıkışından itibaren OWASP yetkilileri ve gönüllüleri “PATCH” bulunmadığını ifade etmektedirler.Fakat “NOSCRİPT” ile açıktan bir nebzede olsa korunmak mümkündür.
NOSCRİPT ile %100 korunma sağlamak için “Plugins/Forbid” Seçeneğini İşaretlemelisiniz.