1. Açıkların Teknik Detayları DoubleClickjacking, şu ana kadar bilinen tüm clickjacking korumalarını (X-Frame-Options, SameSite cookie politikaları, Content Security Policy gibi) aşan yeni bir siber saldırı yöntemi olarak öne çıkıyor. Bu teknik, kullanıcıların çift tıklama eylemlerini manipüle ederek hassas verilerin yetkisiz kişilerce ele geçirilmesine olanak tanır.
Nasıl Çalışır?
- Kullanıcı, sıkı denetim altında olmayan bir sitede gezinmeye başlar.
- Saldırgan tarafından kontrol edilen site, ya otomatik olarak ya da bir buton tıklamasıyla yeni bir pencerede bir içerik açar.
- Yeni pencere, genelde zararsız görünen (CAPTCHA doğrulama gibi) bir mesajla kullanıcıyı çift tıklamaya yönlendirir.
- Bu esnada JavaScript kullanılarak ana pencerenin içeriği hassas bir sayfa (OAuth izin ekranı gibi) ile değiştirilir.
- Kullanıcının ikinci tıklaması, bu hassas sayfadaki eylemi onaylar.
2. Etkilenen Sürümler ve Dosyalar DoubleClickjacking, çoğu modern tarayıcı ve web uygulamasında görülmektedir. Özellikle OAuth yetkilendirme sistemlerini kullanan platformlar (Salesforce, Slack, Shopify gibi) bu tehdide karşı duyarlıdır. Aynı zamanda, çevrimiçi ödeme sistemleri ve kripto cüzdan uygulamaları gibi hassas hizmetler de risk altındadır.
3. Çözüm ve Öneriler
Kısa Vadeli Çözümler:
JavaScript tabanlı önlemler: Kullanıcı tarafından gerçekleştirilmeyen hareketler algılanınca kritik butonları devre dışı bırakmak. Aşağıdaki kod bu yönteme örnektir:
(function(){
if (window.matchMedia && window.matchMedia("(hover: hover)").matches) {
var buttons = document.querySelectorAll('form button, form input[type="submit"]');
buttons.forEach(button => button.disabled = true);
function enableButtons() { buttons.forEach(button => button.disabled = false); }
document.addEventListener("mousemove", enableButtons);
document.addEventListener("keydown", e => { if(e.key === "Tab") enableButtons(); });
}
})();Duyarlı UI tasarımı: Kritik çıkış ekranları veya ödeme sayfaları gibi yerlerde kullanıcı eylemi gerektiren koruma mekanizmaları (mouse hareketleri veya klavye girdileri gibi) uygulamak.
Uzun Vadeli Çözümler:
- Tarayıcı düzeyi çözümler:
- Çift tıklama koruma HTTP başlıklarının tanıtılması.
- CSP direktiflerinin birden fazla tıklama olayını kapsayacak şekilde genişletilmesi.
- Yeni standartlar geliştirilmesi: Tarayıcı geliştiricilerinin, zamanlama tabanlı etkileşimler için daha sıkı kontroller sunması gerekir.
4. Sonuç ve Öneriler DoubleClickjacking, web tabanlı saldırılarda yeni bir dönemi işaret ediyor. Kullanıcıların farkında olmadan hassas eylemler gerçekleştirmesine olanak tanıyan bu teknik, mevcut koruma mekanizmalarının ötesine geçiyor. Geliştiriciler, hem kısa vadeli hem de uzun vadeli önlemler alarak bu tehdide karşı hazırlıklı olmalıdır.
Birlikte Güvende Olalım!
#CyberSecurity #NetworkSecurity #Clickjacking #DoubleClickjacking
About the Author
