ClickJacking Nedir?
Yazan: chelishky Ekim 7, 2008
Araştırmacılar bütün ana masaüstü platformlarını (Internet Explorer, Firefox, Safari, Opera ve Adobe Flash) etkileyen yeni bir browser exploit / tehditi ile ilgili olarak uyarıyorlar.
Clickjacking adı verilen tehdit OWASP New York AppSec 2008 konferansında anlatılacak ve tartışılacaktı ama Adobe ve diğer etkilenen üretici firmaların ricası üzerine fix çıkana kadar açıklanmayacak.
Keşfin arkasındaki iki araştırmacı Robert Hansen ve Jeremiah Grossman açığın seviyesi ile ilgili ufak bilgiler verdiler.
Clickjacking nedir?
“Maalesef, bulgularımızın bazıları kötü değil, çok kötü. O kadar kötü ki, sorumluluğunu taşıyarak duyurmamız gerektiğini hissettik. Bir açık diğerine yöneltti o da bir diğerine ve güm – yakında açıklar ile ilgili pek çok yama çıkacak. Ve sadece bir kaç üretici firma ile çalıştık. Ve.. evet. Açık çok kötü.”
Yarı kısıtlı OWASP prezentasyonunu izlemiş birisi açığın gerçekten zero-day (patch i yok) olduğu, tüm browser’ları etkilediğini ve Javascript ile alakası olmadığını belirtiyor:
“Kabaca, kötü amaçlı bir web sitesini ziyaret ettiğinizde saldırgan browser’ınızın ziyaret ettiği linklerin kontrolünü eline alabiliyor. Problem lynx türü olanlar hariç hemen hemen tüm browser’ları etkiliyor. Problemin javascript ile alakası yok ve javascript i kapatmanın yararı olmuyor. Browser2ların çalışma mantığındaki bir hata ve bir yama ile basitçe kapanamayacak birşey. Bu açıkla, kötü amaçlı bir web sayfasına girdiğinizde, kötü amaçlı kişi istediğiniz linke, butona tıklamanızı sağlıyor ve birşey görmüyorsunuz.”
Firefox 2, 3, Internet Explorer tüm sürümleri (8 dahil), Opera, Safari browser’ları Clickjacking açığından etkileniyor.
