Arama


ThinkerBeLL - avatarı
ThinkerBeLL
VIP VIP Üye
1 Haziran 2011       Mesaj #1
ThinkerBeLL - avatarı
VIP VIP Üye
OWASP (Open Web Application Security Project) tarafından incelenen ve detaylarıyla olmasa da tarayıcıların zafiyetlerinden kaynaklandığı belirtilen “Clickjacking” tam manasıyla günümüze yansımamıştır. Genel anlamda Adobe ve Browser üzerinden saldırı durumuna geçilen açık Adobe ve Browser sahiplerinin ricaları üzerine açıklanmamış sadece bir bölümü belirtilmiştir.

Clickjacking Nedir?
Clickjacking sayfa içinde sayfa oluşturma mantığı ile kullanıcıların bilgilerini çalmayı amaçlayan bir açıktır. Genel anlamı ile Clickjacking kullanıcı kandırma esaslı “frame” saldırısı gibi görünmektedir. Fakat güvenlik uzmanlarının görüşlerine göre Clickjacking yolladığınız link üzerinden Attacker'lerin kullanıcıları rahatlıkla takip etmesidir.
Browser üzerinde Javascript kontrollerini kaldırmak Clickjacking engelini aşmak anlamına gelmemektedir. LYNX tabanlı tarayıcılar hariç bütün tarayıcılar saldırıya maruz kalmaktadırlar.
İnternet üzerinden bir bilmediğiniz bir sayfada bir “klik” yapmanız bile saldırıya maruz kalabilirsiniz anlamına gelmektedir. Attacker’in size sunduğu ön sayfanın arka planına habersiz olarak bir sayfa yerleştirebilir ve ön sayfa aldatmacası ile istediği işlemi yaptırabilir.
CJ farklı açıklar gibi geliştirilmiştir. Bir siteye girdiğinizde ön tarafta tamamen transparan halde sunulan hedef site, bir iframe içerisinde gösterilir. Ancak transparan olduğu için kullanıcı, onun yerine bir arka layerda bulunan içeriği görür. Bu arkadaki sahte içerikte de sizi tıklamaya teşvik eden noktalar yer alır. Siz arka taraftaki bu sahte alana tıkladığınızı düşünürken, aslında ön tarafta transparan olarak yer alan ve arkadaki katmanda tıklanılacak yer ile aynı şekilde hizalanmış olan ön katmandaki bir butona tıklarsınız. Tıklama işlemini yaptığınızda sayfadan hiçbir tepki almazsınız, ancak o görünmez olan iframe'in içerisinde işlemini çoktan yapmış olur. Tabii bu iframe yöntemi en sık kullanılanı olsa da, başka teknikler de mevcut.
Clickjacking yöntemini daha iyi anlayabilmek için, aşağıdaki videoyu da izleyebilirsiniz. Video'da hem mouse'u javascript yardımı ile takip eden buton yöntemini hem de transparan çerçeve yöntemini görebilirsiniz:

[flasht=http://vimeo.com/moogaloop.swf?clip_id=5353789]width='600' height='440'[/flasht]

Şimdi düşünün açığın tehlike aşamasını; Attacker web sayfalarının belirli bölümlerini kendine açık olarak görebilir ve kullanabilir.

Güvenlik
Açığın oluşumu ve çıkışından itibaren OWASP yetkilileri ve gönüllüleri “patch” bulunmadığını ifade etmektedirler. Fakat Mozilla Firefox’un NoScript eklentisi ile açıktan bir nebze de olsa korunmak mümkündür. NoScript eklentisi bir web sayfasındaki java ve flash içerikli görüntü ve komutları engeller.
NoScript ile %100 korunma sağlamak için “Plugins/Forbid” seçeneğini işaretlemelisiniz.
BEĞEN Paylaş Paylaş
Bu mesajı 2 üye beğendi.
Tanrı varsa eğer, ruhumu kutsasın... Ruhum varsa eğer!