Clickjacking Nedir?

İngilizce: Clickjacking

Clickjacking, kullanıcıyı görünmez veya yanıltıcı katmanlarla kandırıp farkında olmadan tıklama yaptıran arayüz saldırısıdır.

Clickjacking Nedir?

Clickjacking, kullanıcının gördüğünü sandığı arayüz ile gerçekte tıkladığı hedefin farklı olduğu bir saldırı türüdür. Saldırgan güvenilir bir sayfayı iframe içinde gizleyebilir, üzerine sahte butonlar yerleştirebilir veya tıklamayı görünmez bir elemana yönlendirebilir.

Örneğin kullanıcı basit bir oyun butonuna tıkladığını sanarken, arka planda açık oturumuyla başka bir sitede ayar değiştiren veya onay veren bir butona tıklatılabilir. Risk, özellikle oturum açıkken çalışan yönetim panelleri ve kritik işlem sayfalarında artar.

Korunma Yöntemleri

Clickjacking’e karşı temel savunma, sayfanın başka sitelerde frame içine alınmasını engellemektir. X-Frame-Options başlığı DENY veya SAMEORIGIN değeriyle kullanılabilir. Daha modern ve esnek yöntem ise Content-Security-Policy içinde frame-ancestors kuralı tanımlamaktır.

Kritik işlemlerde yeniden doğrulama, CSRF koruması, açık onay metinleri ve hassas butonlar için kullanıcı niyetini netleştiren arayüzler de riski azaltır. Ancak görsel hilelere karşı ana katman güvenlik başlıklarıdır.

Security Headers clickjacking savunmasının merkezindedir. XSS farklı bir saldırı sınıfı olsa da ikisi de tarayıcı güvenlik modelinin doğru yapılandırılmasını gerektirir.