İçeriğe atla

Clickjacking

Clickjacking saldırısında, kullanıcıya sahte bir arayüz sunulur ve girdileri göremedikleri bir şeye uygulanır.

Clickjacking (kullanıcı arayüzü düzeltme saldırısı veya kullanıcı arayüzü düzeltme olarak sınıflandırılır), bir kullanıcıyı algıladığından farklı bir şeye tıklaması için kandıran, böylece gizli bilgileri açığa çıkarma veya web sayfaları da dahil olmak üzere görünüşte zararsız nesnelere tıklarken başkalarının bilgisayarlarının kontrolünü ele geçirmesine izin veren kötü niyetli bir tekniktir.[1][2][3][4][5]

Tarih

2002 yılında, bir web sayfasına saydam bir katman yerleştirmenin ve kullanıcının girdisinin kullanıcı fark etmeden saydam katmanı etkilemesinin mümkün olduğu kaydedilmiştir. Ancak bu durum 2008 yılına kadar önemli bir sorun olarak görülmemiştir. [6]

2008 yılında Jeremiah Grossman ve Robert Hansen, Adobe Flash Player'ın tıklanarak ele geçirilebildiğini ve böylece saldırganın kullanıcının bilgisi olmadan bilgisayara erişim sağlayabildiğini keşfetmişlerdir. [7]

Tanım

Clickjacking'in bir türü, saldırganın kullanıcının bilgisayarını kendi avantajına göre manipüle etmesine izin vermek için uygulamalarda veya web sayfalarında bulunan güvenlik açıklarından yararlanmaktadır.

Örnek olarak, clickjacked bir sayfa, kullanıcıyı gizli bağlantılara tıklayarak istenmeyen aksiyonlar gerçekleştirmesi için kandırır. Tıklama saldırısına uğramış bir sayfada, saldırganlar orijinal sayfanın üzerine şeffaf bir katmanda başka bir sayfa yükleyerek kullanıcıyı, sonuçları kullanıcının beklediği gibi olmayacak aksiyonlar alması için kandırırlar. Şüphelenmeyen kullanıcılar görünür düğmelere tıkladıklarını düşünürken, aslında görünmez sayfada işlemler gerçekleştirmekte, katmanın altındaki sayfanın düğmelerine tıklamaktadır. Gizli sayfa bir otantikasyon sayfası olabilir; bu nedenle saldırganlar kullanıcıları kandırarak, kullanıcıların hiç amaçlamadıkları aksiyonları gerçekleştirmelerini sağlayabilirler. Kullanıcıların kimlikleri gizli sayfada gerçekten doğrulanmış olacağından, bu tür eylemleri daha sonra saldırganlara kadar takip etmenin bir yolu yoktur.

Önleme

İstemci tarafı

NoScript

Mozilla Firefox masaüstü ve mobil sürümlerine NoScript eklentisi yüklenerek clickjacking'e (likejacking dahil) karşı koruma eklenebilir.

NoClickjack

"NoClickjack" web tarayıcısı eklentisi (tarayıcı uzantısı), Google Chrome, Mozilla Firefox, Opera ve Microsoft Edge kullanıcıları için yasal iFrame'lerin çalışmasına müdahale etmeden istemci tarafı clickjack koruması ekler. NoClickjack, GuardedID için geliştirilen teknolojiye dayanmaktadır. NoClickjack eklentisi ücretsizdir.

Korumalı Kimlik

GuardedID (ticari bir program) Internet Explorer kullanıcıları için yasal iFrame'lerin çalışmasını engellemeyen istemci tarafı clickjack koruması içerir. GuardedID clickjack koruması tüm çerçeveleri görünür olmaya zorlar.

Sunucu Tarafı

X-Frame-Options

X-Frame-Options, web sitesi sahibi tarafından ayarlandığında, tercih edilen çerçeveleme politikasını beyan eder: DENY, ALLOW-FROM origin veya SAMEORIGIN değerleri sırasıyla herhangi bir çerçevelemeyi, harici siteler tarafından çerçevelemeyi önler veya yalnızca belirtilen site tarafından çerçevelemeye izin verir. Buna ek olarak, bazı reklam siteleri, içeriklerinin herhangi bir sayfada çerçevelenmesine izin vermek amacıyla standart olmayan bir ALLOWALL değeri döndürür (X-Frame-Options'ı hiç ayarlamamaya eşdeğer).

X-Frame-Options gibi bir güvenlik başlığı, kullanıcıları çerçeve kullanmayan clickjacking saldırılarına karşı korumayacaktır.[8]

Content Security Policy

Content Security Policy (CSP), XSS ve clickjacking gibi saldırılara karşı hafifletme sağlayan bir tespit ve önleme mekanizmasıdır.

Kaynakça

  1. ^ Robert McMillan (17 Eylül 2008). "At Adobe's request, hackers nix 'clickjacking' talk". PC World. 17 Temmuz 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 8 Ekim 2008. 
  2. ^ Megha Dhawan (29 Eylül 2008). "Beware, clickjackers on the prowl". India Times. 24 Temmuz 2009 tarihinde kaynağından arşivlendi. Erişim tarihi: 8 Ekim 2008. 
  3. ^ Dan Goodin (7 Ekim 2008). "Net game turns PC into undercover surveillance zombie". The Register. 8 Ekim 2008 tarihinde kaynağından arşivlendi. Erişim tarihi: 8 Ekim 2008. 
  4. ^ Fredrick Lane (8 Ekim 2008). "Web Surfers Face Dangerous New Threat: 'Clickjacking'". newsfactor.com. 13 Ekim 2008 tarihinde kaynağından arşivlendi. Erişim tarihi: 8 Ekim 2008. 
  5. ^ Shahriar (4 Temmuz 2014). "Classification of Clickjacking Attacks and Detection Techniques". Information Security Journal: A Global Perspective (İngilizce). 23 (4–6): 137-147. doi:10.1080/19393555.2014.931489. ISSN 1939-3555. 16 Şubat 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 5 Nisan 2023. 
  6. ^ "UI Redressing Attacks on Android Devices" (PDF). Black Hat. 2012. 18 Ocak 2013 tarihinde kaynağından (PDF) arşivlendi.  Yazar |ad1= eksik |soyadı1= (yardım)
  7. ^ Niemietz, Marcus (2012). "UI Redressing Attacks on Android Devices" (PDF). Black Hat. 18 Ocak 2013 tarihinde kaynağından (PDF) arşivlendi. 
  8. ^ "lcamtuf's blog: X-Frame-Options, or solving the wrong problem". 10 Aralık 2011. 

İlgili Araştırma Makaleleri

<span class="mw-page-title-main">Mozilla Firefox</span> yazılım

Mozilla Firefox, Mozilla Vakfı ve onun alt kuruluşu Mozilla Corporation tarafından geliştirilen, özgür ve açık kaynak kodlu bir web tarayıcısıdır. Firefox; Windows, macOS, Linux, Android ve iOS işletim sistemlerinde kullanabilir. Yazılımın Windows, macOS, Linux, Android sürümlerinde web sayfalarının oluşturulması için Gecko motoru kullanılır. Mozilla tarafından geliştirilen Gecko, mevcut ve planlanmış web standartlarıyla uyumludur. 2015'te çıkan iOS için Firefox uygulamasında ise Apple'ın getirdiği kısıtlamalar nedeniyle iOS'in bütünleşik WebKit motoru kullanılır.

<span class="mw-page-title-main">Tarayıcı savaşları</span>

Tarayıcı Savaşları, elektronik cihazların İnternete bağlanırken kullandıkları yazılımlar olan ağ tarayıcısı üreticisi şirketler arasında yaşanan ve pazar payını elinde tutmak ya da artırmak için girişilen yarış dönemlerine verilen addır.

HTTPS bir bilgisayar ağı üzerinden güvenli iletişim için internet üzerinde yaygın olarak kullanılan bir HTTP uzantısıdır. HTTPS'te, iletişim protokolü Taşıma Katmanı Güvenliği (TLS) veya öncesinde, onun öncülü/selefi olan Güvenli Soket Katmanı (SSL) ile şifrelenir. Bu nedenle protokol sık sık TLS üzerinden HTTP veya SSL üzerinden HTTP olarak da adlandırılır.

Netscape Communications Corporation Mountain View, Kaliforniya ve daha sonra Dulles, Virginia merkezli Amerikan bağımsız bir bilgisayar hizmetleri şirketidir. Netscape web tarayıcısı bir zamanlar baskındı 1990'ların ortalarında pazar payı yüzde 90'ın üstündeyken 2006'da yüzde 1'in altına indi. Rakipleri Microsoft Internet Explorer ve diğer tarayıcılara yenik düştü. Aynı zamanda Netscape, en yaygın programlama dili JavaScript'i oluşturan şirkettir.

<span class="mw-page-title-main">World Wide Web</span> internet kullanarak ulaşılan, birbirine bağlı belgelerden oluşan küresel sistem

World Wide Web, Dünya Çapında Ağ (kısaca WWW veya Web), İnternet üzerinde yayınlanan birbirleriyle bağlantılı hiper-metin dokümanlarından oluşan bir bilgi sistemidir. Bu dokümanların her birine Web sayfası adı verilir ve Web sayfalarına İnternet kullanıcısının bilgisayarında çalışan Web tarayıcısı adı verilen bilgisayar programları aracılığıyla erişilir. Web sayfalarında metin, imaj, video ve diğer multimedya ögeleri bulunabilir ve diğer bağlantı ya da link adı verilen hiper-bağlantılar ile başka Web sayfalarına geçiş yapılabilir.

Bu liste bilinen bazı Firefox eklentilerinin listesidir. Birçok Mozilla Firefox eklentisi SeaMonkey tarayıcısında da çalışır. Daha geniş bir liste için resmi eklenti deposuna bakabilirsiniz. 30 Nisan 2007 tarihiyle bu depoda 2286 eklenti bulunmaktadır. Eklentiler geliştiriciler tarafından yaratılmaktadır. Eklentilerin tamamı kamuya açıklanmadan önce editör bir grup tarafından gözden geçirilir.

<span class="mw-page-title-main">Google Chrome</span> Google tarafından geliştirilen bir web tarayıcısı

Google Chrome, Google tarafından geliştirilen ücretsiz bir web tarayıcısıdır. Eylül 2008'de Microsoft Windows sürümü yayımlanmış; daha sonra Linux, macOS, iOS ve Android sürümleri de geliştirilmiştir.

Cloud, Los Angeles'in kurduğu anonim şirket "Good LLC" tarafından ortaya çıkarılan "tarayıcı tabanlı işletim sistemi"dir. Şirket ilk olarak üçüncü canlı örneğinde şimdi ağır bir şekilde Ubuntu'ya dayanan gOS adlı bir Linux dağıtımını piyasaya sürdü.

Firefox Sync, Mozilla Firefox İnternet tarayıcısının eşleştirme özelliğidir. Önceleri tarayıcıdan bağımsız bir eklenti olarak sunulmaya başlanmış olup Firefox 4.0 ve sonrası sürümlerde Firefox'a gömülü bir özellik olarak gelmektedir. Kullanıcıların yer imlerini, tarayıcı geçmişini, tarayıcı ayarlarını, şifreleri, otomatik doldurulan formları ve en son açılmış 25 sekmeyi, birden fazla bilgisayarda ya da telefonda senkronize etmeye olanak tanır. Firefox Sync, verileri şifreleyerek, kullanıcı bilgisinin dışarıya çıkmasını engeller.

<span class="mw-page-title-main">NoScript</span>

NoScript açık kaynaklı ve ücretsiz bir Google Chrome, Mozilla Firefox, SeaMonkey, Flock ve diğer Mozilla-tabanlı web tarayıcısı eklentisidir.

<span class="mw-page-title-main">Microsoft hesabı</span> çevrim içi hesap

Microsoft account, Microsoft tarafından Windows Live hizmetlerinde sağlanan bir özelliktir. Kullanıcılara bir hesap kullanarak web sitelerine, cihazlara ve uygulamalarına oturum açmalarını sağlar.

<span class="mw-page-title-main">Apple ID</span>

Apple ID veya Apple Kimliği, böyle iWork, iCloud, iTunes Store ve Apple Store gibi ürünlerin çoğu için sunduğu herhangi bir e-posta sağlayıcısından bir müşterinin mevcut e-posta adresini kullanarak, çeşitli online sistemlere giriş yapmak için kullanılan bir all-in-one kullanıcı hesapıdır. Apple Inc. tarafından yaratılmıştır.

<span class="mw-page-title-main">İOS için Firefox</span>

iOS için Firefox Apple iPhone, iPad ve iPod Touch mobil cihazları için Mozilla'nın bir tarayıcısı. Firefox'ta masaüstü ve mobil için kullanılan Gecko düzen motorunu kullanmayan ilk Firefox markalı tarayıcıdır. Apple tarafından seçilen iOS güvenlik kısıtlamaları nedeniyle Firefox, Gecko'nun yerine yerleşik iOS WebKit tabanlı işleme çerçevesini kullandı. IOS for Firefox, Firefox Sync'i destekler ve Firefox'un tarama geçmişini, yer imlerini ve son sekmeleri senkronize edebilir.

Takvim yazılımı kullanıcılara bir takvimin elektronik sürümünü en az düzeyde sağlayan yazılımdır. Ayrıca, yazılım bir randevu defteri, adres defteri ve / veya irtibat listesi sağlayabilir. Bu araçlar, masaüstü aksesuar paketi ve bilgisayar ofis otomasyon sistemleri gibi zaman yönetimi yazılımının sağladığı pek çok özelliğin bir uzantısıdır. Takvim, pek çok PDA, el terminali ve akıllı telefonun standart bir özelliğidir ve ayrıca kişisel bilgisayarlar için birçok ofis takımından oluşur.

Siteler arası betik çalıştırma, genellikle web uygulamalarında görülen, genellikle HTML enjeksiyonu zafiyetiyle birlikte ortaya çıkan veya Java Script kullanan bazı aplikasyonlarda bulunan bir güvenlik açıklığıdır. XSS, diğer kullanıcılar tarafından görüntülenen web sayfalarına istemci taraflı Java Script kodunun enjekte edilmesine imkân verir. Siteler arası betik çalıştırma açıklığı, saldırganlar tarafından aynı kök politikası gibi bazı erişim kontrollerini atlatmak ve hedef adresin oturum katmanını ele geçirmek için kullanılabilmektedir. Web sayfaları üzerinde gerçekleştirilen siteler arası betik çalıştırma saldırıları, 2007 itibarıyla Symantec'in raporladığı tüm güvenlik açıklıklarının yaklaşık olarak %84'ünü oluşturmaktadır. Zafiyet içeren sitenin işlediği verinin hassasiyetine ve site sahibi tarafından uygulanan güvenlik tedbirlerine bağlı olarak, etkisi ufak bir aksamadan önemli bir güvenlik riskine kadar değişebilmektedir.

<span class="mw-page-title-main">Favicon</span> Belli bir ağ sayfasının küçük simgesi

Favicon, kısayol simgesi, website ikonu, sekme ikonu, URL ikonu veya yer imi ikonu olarak da bilinir, bir veya daha fazla küçük simge içeren bir dosyadır, belirli bir web sitesi veya web sayfası ile ilişkili. Bir web grafik tasarımcısı böyle bir simge yaratabilir ve onu bir web sitesine çeşitli yollarla yükleyebilir ve ardından grafiksel web tarayıcısı bundan yararlanabilir. Favicon desteği sağlayan tarayıcılar tipik olarak bir tarayıcının faviconunu adres çubuğu ve yer imleri listesinde sayfanın adının yanında gösterir. Sekmeli tarayıcı özelliğini destekleyen tarayıcılar tipik olarak sekmedeki sayfanın başlığının yanında bir sayfanın favicon'unu gösterir ve siteye özgü tarayıcı favicon'u masaüstü simgesi olarak kullanır.

<span class="mw-page-title-main">Firefox Focus</span> Mobil cihazlara özgü, gizlilik odaklı web tarayıcısı

Firefox Focus, Mozilla tarafından Android ve iOS cihazlar için geliştirilen özgür bir gizlilik odaklı tarayıcıdır. Firefox Focus, başlangıçta iOS için bir takipçi engelleme uygulamasıydı. Kısa bir süre sonra, minimalist bir web tarayıcısı haline getirildi.

<span class="mw-page-title-main">Özel tarama</span> Bazı web tarayıcılarında bulunan gizlilik özelliği

Özel tarama veya gizli tarama birçok web tarayıcılarında bulunan bir gizlilik özelliğidir. Böyle bir modda çalışırken, tarayıcı geçici bir oturum oluşturur. Tarayıcının ana oturumundan ve kullanıcı verilerinden izole edilmiştir. Web tarama geçmişi kaydedilmez ve çerezler gibi yerel veriler, oturum kapatıldığında silinir.

<span class="mw-page-title-main">Samsung Galaxy Gio</span>

Samsung Galaxy Gio (GT-S5660), Samsung tarafından üretilmiş ve Android işletim sistemini kullanan bir akıllı telefondur.

Tarayıcı güvenliği, ağ bağlantılı verileri ve bilgisayar sistemlerini gizlilik ihlallerinden veya kötü amaçlı yazılımlardan korumak için İnternet güvenliğinin web tarayıcılarına uygulanmasıdır. Tarayıcıların güvenlik açıkları genellikle JavaScript ile bazen Adobe Flash kullanan ikincil bir yüke sahip siteler arası komut dosyası (XSS) kullanır. Güvenlik açıkları ayrıca tüm tarayıcılarda yaygın olarak kullanılan güvenlik açıklarından yararlanabilir.).


Bu sayfa, bu Vikipedi makalesine dayanmaktadır.
Metin, CC BY-SA 4.0 lisansı altında mevcuttur; ek koşullar uygulanabilir.
Görseller, videolar ve sesler kendi lisansları altında mevcuttur.