Giriş Yap
Kayıt Ol
Üye Listesi
Aktif Konular
Arama Yap
() INF
Clickjacking, bir kullanıcıya farkında olmadan tıklatma yaptırmaya yarayan bir saldırı tekniğidir. Tıklatılacak buton HTML tagları ile frame(transparan) olarak gizlenir.Genellikle pop-up tarzı reklamları
tıklatmak,ödeme yaptırmak,kamera-mikrofon gibi aygıtları dinlemek,başka bir web sayfasına yönlendirmek gibi amaçlarla kullanılır.
Application.security üzerinden Clickjacking senaryosunu inceleyelim. CoinPay adında bir kripto varlık borsasının web uygulaması üzerinde zaafiyet oluşturacağız.
Yakın zamanda bir ISP(İnternet Servis Sağlayıcısı) hacklenmesi üzerine sızdırılan verileri inceler.CoinPay isimli kripto borsasına ait giriş bilgileri yakalar ve bunu denemeye karar verir.
CoinPay uygulaması üzerinden bilgiler ile giriş yapmayı dener.
Ancak two-factor authentication(2 faktörlü doğrulama) adımı ile karşılaşır.
Saldırganımız kendi hesabından CoinPay uygulamasının 2 adımlı doğrulama adımını kapatma butonunu bulur.
Güvenlik adımlarını kapattığımız sayfayı opaklığı düşürerek HTML sayfası oluşturur.
www.crypto-news.com alan adı üzerine oluşturduğu HTML sayfasını giydirir ve sunucu üzerinde web servislerini başlatır.
Saldırganımız Bob, Alice’e kripto haberlerini içeren bir e-posta gönderir.
Gönderilen e-postada oluşturulan fake site bağlantısı veriliyor.
Çerezleri kabul ettiğimize dair bir buton gözüküyor. Ancak opaklığı düşürdüğümüzde
Disable two-step Verification butonunu görüyoruz.Kurbana istediğimiz yeri tıklatıyoruz.
Ardından CoinPay adlı siteye tekrardan giriş yaptığımızda.
2 adımlı doğrulamayı bypass ettiğimizi ve direk olarak anasayfaya erişiyoruz ve Clickjacking zaafiyetini gerçekleştirmiş oluyoruz.
