Azərbaycanca
Беларускі
Dansk
Deutsch
Española
Français
Indonesia
Italiana
日本語
Қазақ
Lietuvos
Nederlands
Português
Русский
සිංහල
แบบไทย
Türkçe
Українська
中國人
United State
Afrikaans
Clickjacking (kullanıcı arayüzü düzeltme saldırısı veya kullanıcı arayüzü düzeltme olarak sınıflandırılır), bir kullanıcıyı algıladığından farklı bir şeye tıklaması için kandıran, böylece gizli bilgileri açığa çıkarma veya web sayfaları da dahil olmak üzere görünüşte zararsız nesnelere tıklarken başkalarının bilgisayarlarının kontrolünü ele geçirmesine izin veren kötü niyetli bir tekniktir.
Tarih
2002 yılında, bir web sayfasına saydam bir katman yerleştirmenin ve kullanıcının girdisinin kullanıcı fark etmeden saydam katmanı etkilemesinin mümkün olduğu kaydedilmiştir. Ancak bu durum 2008 yılına kadar önemli bir sorun olarak görülmemiştir.
2008 yılında Jeremiah Grossman ve Robert Hansen, Adobe Flash Player'ın tıklanarak ele geçirilebildiğini ve böylece saldırganın kullanıcının bilgisi olmadan bilgisayara erişim sağlayabildiğini keşfetmişlerdir.
Tanım
Clickjacking'in bir türü, saldırganın kullanıcının bilgisayarını kendi avantajına göre manipüle etmesine izin vermek için uygulamalarda veya web sayfalarında bulunan güvenlik açıklarından yararlanmaktadır.
Örnek olarak, clickjacked bir sayfa, kullanıcıyı gizli bağlantılara tıklayarak istenmeyen aksiyonlar gerçekleştirmesi için kandırır. Tıklama saldırısına uğramış bir sayfada, saldırganlar orijinal sayfanın üzerine şeffaf bir katmanda başka bir sayfa yükleyerek kullanıcıyı, sonuçları kullanıcının beklediği gibi olmayacak aksiyonlar alması için kandırırlar. Şüphelenmeyen kullanıcılar görünür düğmelere tıkladıklarını düşünürken, aslında görünmez sayfada işlemler gerçekleştirmekte, katmanın altındaki sayfanın düğmelerine tıklamaktadır. Gizli sayfa bir otantikasyon sayfası olabilir; bu nedenle saldırganlar kullanıcıları kandırarak, kullanıcıların hiç amaçlamadıkları aksiyonları gerçekleştirmelerini sağlayabilirler. Kullanıcıların kimlikleri gizli sayfada gerçekten doğrulanmış olacağından, bu tür eylemleri daha sonra saldırganlara kadar takip etmenin bir yolu yoktur.
Önleme
İstemci tarafı
NoScript
Mozilla Firefox masaüstü ve mobil sürümlerine NoScript eklentisi yüklenerek clickjacking'e (likejacking dahil) karşı koruma eklenebilir.
NoClickjack
"NoClickjack" web tarayıcısı eklentisi (tarayıcı uzantısı), Google Chrome, Mozilla Firefox, Opera ve Microsoft Edge kullanıcıları için yasal çalışmasına müdahale etmeden istemci tarafı clickjack koruması ekler. NoClickjack, GuardedID için geliştirilen teknolojiye dayanmaktadır. NoClickjack eklentisi ücretsizdir.
Korumalı Kimlik
GuardedID (ticari bir program) Internet Explorer kullanıcıları için yasal iFrame'lerin çalışmasını engellemeyen istemci tarafı clickjack koruması içerir. GuardedID clickjack koruması tüm çerçeveleri görünür olmaya zorlar.
Sunucu Tarafı
X-Frame-Options
X-Frame-Options, web sitesi sahibi tarafından ayarlandığında, tercih edilen çerçeveleme politikasını beyan eder: DENY, ALLOW-FROM origin veya SAMEORIGIN değerleri sırasıyla herhangi bir çerçevelemeyi, harici siteler tarafından çerçevelemeyi önler veya yalnızca belirtilen site tarafından çerçevelemeye izin verir. Buna ek olarak, bazı reklam siteleri, içeriklerinin herhangi bir sayfada çerçevelenmesine izin vermek amacıyla standart olmayan bir ALLOWALL değeri döndürür (X-Frame-Options'ı hiç ayarlamamaya eşdeğer).
X-Frame-Options gibi bir güvenlik başlığı, kullanıcıları çerçeve kullanmayan clickjacking saldırılarına karşı korumayacaktır.
Content Security Policy
(CSP), XSS ve clickjacking gibi saldırılara karşı hafifletme sağlayan bir tespit ve önleme mekanizmasıdır.
Kaynakça
- ^ Robert McMillan (17 Eylül 2008). . PC World. 17 Temmuz 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 8 Ekim 2008.
- ^ Megha Dhawan (29 Eylül 2008). . India Times. 24 Temmuz 2009 tarihinde kaynağından arşivlendi. Erişim tarihi: 8 Ekim 2008.
- ^ Dan Goodin (7 Ekim 2008). . The Register. 8 Ekim 2008 tarihinde kaynağından arşivlendi. Erişim tarihi: 8 Ekim 2008.
- ^ Fredrick Lane (8 Ekim 2008). . newsfactor.com. 13 Ekim 2008 tarihinde kaynağından arşivlendi. Erişim tarihi: 8 Ekim 2008.
- ^ Shahriar (4 Temmuz 2014). "Classification of Clickjacking Attacks and Detection Techniques". Information Security Journal: A Global Perspective (İngilizce). 23 (4–6): 137-147. doi:10.1080/19393555.2014.931489. ISSN 1939-3555. 16 Şubat 2023 tarihinde kaynağından . Erişim tarihi: 5 Nisan 2023.
- ^ (PDF). Black Hat. 2012. 18 Ocak 2013 tarihinde kaynağından (PDF) arşivlendi. Yazar
|ad1=eksik|soyadı1=() - ^ Niemietz, Marcus (2012). (PDF). Black Hat. 18 Ocak 2013 tarihinde kaynağından (PDF) arşivlendi.
- ^ "lcamtuf's blog: X-Frame-Options, or solving the wrong problem". 10 Aralık 2011.
wikipedia, wiki, viki, vikipedia, oku, kitap, kütüphane, kütübhane, ara, ara bul, bul, herşey, ne arasanız burada,hikayeler, makale, kitaplar, öğren, wiki, bilgi, tarih, yukle, izle, telefon için, turk, türk, türkçe, turkce, nasıl yapılır, ne demek, nasıl, yapmak, yapılır, indir, ücretsiz, ücretsiz indir, bedava, bedava indir, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, resim, müzik, şarkı, film, film, oyun, oyunlar, mobil, cep telefonu, telefon, android, ios, apple, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, pc, web, computer, bilgisayar
Clickjacking kullanici arayuzu duzeltme saldirisi veya kullanici arayuzu duzeltme olarak siniflandirilir bir kullaniciyi algiladigindan farkli bir seye tiklamasi icin kandiran boylece gizli bilgileri aciga cikarma veya web sayfalari da dahil olmak uzere gorunuste zararsiz nesnelere tiklarken baskalarinin bilgisayarlarinin kontrolunu ele gecirmesine izin veren kotu niyetli bir tekniktir Clickjacking saldirisinda kullaniciya sahte bir arayuz sunulur ve girdileri goremedikleri bir seye uygulanir Tarih2002 yilinda bir web sayfasina saydam bir katman yerlestirmenin ve kullanicinin girdisinin kullanici fark etmeden saydam katmani etkilemesinin mumkun oldugu kaydedilmistir Ancak bu durum 2008 yilina kadar onemli bir sorun olarak gorulmemistir 2008 yilinda Jeremiah Grossman ve Robert Hansen Adobe Flash Player in tiklanarak ele gecirilebildigini ve boylece saldirganin kullanicinin bilgisi olmadan bilgisayara erisim saglayabildigini kesfetmislerdir TanimClickjacking in bir turu saldirganin kullanicinin bilgisayarini kendi avantajina gore manipule etmesine izin vermek icin uygulamalarda veya web sayfalarinda bulunan guvenlik aciklarindan yararlanmaktadir Ornek olarak clickjacked bir sayfa kullaniciyi gizli baglantilara tiklayarak istenmeyen aksiyonlar gerceklestirmesi icin kandirir Tiklama saldirisina ugramis bir sayfada saldirganlar orijinal sayfanin uzerine seffaf bir katmanda baska bir sayfa yukleyerek kullaniciyi sonuclari kullanicinin bekledigi gibi olmayacak aksiyonlar almasi icin kandirirlar Suphelenmeyen kullanicilar gorunur dugmelere tikladiklarini dusunurken aslinda gorunmez sayfada islemler gerceklestirmekte katmanin altindaki sayfanin dugmelerine tiklamaktadir Gizli sayfa bir otantikasyon sayfasi olabilir bu nedenle saldirganlar kullanicilari kandirarak kullanicilarin hic amaclamadiklari aksiyonlari gerceklestirmelerini saglayabilirler Kullanicilarin kimlikleri gizli sayfada gercekten dogrulanmis olacagindan bu tur eylemleri daha sonra saldirganlara kadar takip etmenin bir yolu yoktur OnlemeIstemci tarafi NoScript Mozilla Firefox masaustu ve mobil surumlerine NoScript eklentisi yuklenerek clickjacking e likejacking dahil karsi koruma eklenebilir NoClickjack NoClickjack web tarayicisi eklentisi tarayici uzantisi Google Chrome Mozilla Firefox Opera ve Microsoft Edge kullanicilari icin yasal calismasina mudahale etmeden istemci tarafi clickjack korumasi ekler NoClickjack GuardedID icin gelistirilen teknolojiye dayanmaktadir NoClickjack eklentisi ucretsizdir Korumali Kimlik GuardedID ticari bir program Internet Explorer kullanicilari icin yasal iFrame lerin calismasini engellemeyen istemci tarafi clickjack korumasi icerir GuardedID clickjack korumasi tum cerceveleri gorunur olmaya zorlar Sunucu Tarafi X Frame Options X Frame Options web sitesi sahibi tarafindan ayarlandiginda tercih edilen cerceveleme politikasini beyan eder DENY ALLOW FROM origin veya SAMEORIGIN degerleri sirasiyla herhangi bir cercevelemeyi harici siteler tarafindan cercevelemeyi onler veya yalnizca belirtilen site tarafindan cercevelemeye izin verir Buna ek olarak bazi reklam siteleri iceriklerinin herhangi bir sayfada cercevelenmesine izin vermek amaciyla standart olmayan bir ALLOWALL degeri dondurur X Frame Options i hic ayarlamamaya esdeger X Frame Options gibi bir guvenlik basligi kullanicilari cerceve kullanmayan clickjacking saldirilarina karsi korumayacaktir Content Security Policy CSP XSS ve clickjacking gibi saldirilara karsi hafifletme saglayan bir tespit ve onleme mekanizmasidir Kaynakca Robert McMillan 17 Eylul 2008 PC World 17 Temmuz 2015 tarihinde kaynagindan arsivlendi Erisim tarihi 8 Ekim 2008 Megha Dhawan 29 Eylul 2008 India Times 24 Temmuz 2009 tarihinde kaynagindan arsivlendi Erisim tarihi 8 Ekim 2008 Dan Goodin 7 Ekim 2008 The Register 8 Ekim 2008 tarihinde kaynagindan arsivlendi Erisim tarihi 8 Ekim 2008 Fredrick Lane 8 Ekim 2008 newsfactor com 13 Ekim 2008 tarihinde kaynagindan arsivlendi Erisim tarihi 8 Ekim 2008 Shahriar 4 Temmuz 2014 Classification of Clickjacking Attacks and Detection Techniques Information Security Journal A Global Perspective Ingilizce 23 4 6 137 147 doi 10 1080 19393555 2014 931489 ISSN 1939 3555 16 Subat 2023 tarihinde kaynagindan Erisim tarihi 5 Nisan 2023 PDF Black Hat 2012 18 Ocak 2013 tarihinde kaynagindan PDF arsivlendi Yazar ad1 eksik soyadi1 yardim Niemietz Marcus 2012 PDF Black Hat 18 Ocak 2013 tarihinde kaynagindan PDF arsivlendi lcamtuf s blog X Frame Options or solving the wrong problem 10 Aralik 2011