Clickjacking Testleri

BGA Security Wiki sitesinden
Şuraya atla: kullan, ara

Amaç:

Tuzak sistemde başka bir işlem yapıyormuş görünümü ile kullanıcıları hedef sistemde bir linke tıklamalarını ve parola girme gibi işlemler yapmalarını sağlamak.

Adımlar:

  • Hedef uygulamanın basit kullanıcı etkileşimleriyle istismar edilebilecek bölümleri tespit edilip tuzak bir sayfa hazırlanır.
  • Bu tuzak sayfa bir yandan kullanıcıyı cezbederek tuzak sistemi kullanmasını sağlarken diğer yandan yaptığı işlemleri bir frame yüklediği hedef uygulama üzerine yönlendirir. Örneğin; Kullanıcı verilen bir fırsat kodunu girip onay butonuna bastığını düşünürken aslında hedef sistemdeki yeni şifresini o fırsat kodu yapıp onaylamış olabilir.

Kaynak:[değiştir]