Clickjacking

 Clickjacking(Tıkırdama):

Clickjacking (Tıklama Korsanlığı), saldırganların kullanıcıyı farkında olmadan zararlı bir eylem gerçekleştirmesi için kandırdığı bir siber saldırı türüdür; genellikle görünmez katmanlar veya şeffaf HTML öğeleri kullanarak, kullanıcının tıkladığını sandığı güvenilir bir içerik üzerinde, aslında farkında olmadığı gizli bir bağlantıya veya düğmeye tıklamasını sağlar. Bu, kullanıcının oturum açtığı sitelerde (bankacılık, sosyallik) para transferi, şifre çalma, malware indirme veya izinsiz beğeni yapma gibi eylemleri tetikleyebilir. 

Clickjacking Nasıl Çalışır?

Görünmez Katman: Saldırgan, kullanıcı tarafından görülen meşru bir web sayfasının (örneğin, bir video izleme sitesi) üzerine, başka bir zararlı veya hassas siteyi (örneğin, banka sitesi) gizli bir <iframe> içine yükler.

Kandırılan Tıklama: Kullanıcı görünürdeki düğmeye (örneğin "Oynat") tıkladığını düşünür, ancak aslında altında gizlenen sayfanın düğmesine (örneğin "Para Gönder") tıklamış olur.

Gizli Eylem: Kullanıcıların kimlikleri bu gizli sayfada doğrulanmış olduğu için, saldırganlar kullanıcının bilgisi olmadan bankacılık işlemleri gibi hassas eylemleri gerçekleştirebilirler. 

ÖRNEK:

       

Korunma Yöntemleri:

• X-Frame-Options Başlığı: Web sitelerinin kendi sayfalarını <iframe> içinde gösterilmesini engeller.
• Content Security Policy (CSP): Tarayıcıya hangi kaynaklardan içerik yüklenmesi gerektiğini söyler.