Clickjacking Nedir 
Görünmeyen Katmanlarla Kullanıcıyı Aldatmak
“Kullanıcı neye tıkladığını sanır; sistem neye tıklandığını bilir.”
— Ersan Karavelioğlu
Clickjacking Nedir
Clickjacking, kullanıcının farkında olmadan
görünmeyen veya yanıltıcı bir katman üzerinden farklı bir işlem yapmaya zorlanmasıdır.
Kullanıcı bilinçlidir;
Arayüz aldatıcıdır.
Neden Bu Kadar Tehlikelidir
Çünkü kullanıcı
kendi iradesiyle tıklar.
Sistem isteği meşru sanır.
Güven zinciri kullanıcı üzerinden kırılır.
Clickjacking Nasıl Çalışır
Gerçek bir sayfa görünür
Üzerine şeffaf bir katman bindirilir
Tıklama alttaki gizli hedefe gider
Klasik Bir Senaryo
“Videoyu oynat” butonu
Aslında “Yetki ver” alanının üstündedir
Kullanıcı izlemek ister, yetki verir
Iframe Neden Kritik
Clickjacking çoğunlukla
iframe ile yapılır
Başka bir site senin sayfanı gömer
Kontrol sende değilse risk başlar
UI Redressing Nedir
Arayüz yeniden giydirilir
Butonlar yer değiştirir
Kullanıcı algısı manipüle edilir
Clickjacking ile Neler Yapılabilir
Yetki verme
Ödeme onayı
Silme / ayar değişikliği
Tek tık yeterlidir
Likejacking ve Sharejacking
Sosyal medya beğenileri
Paylaşım tetikleme
İtibar ve erişim suistimali
Mobil Ortamda Clickjacking
Küçük ekran
Dokunma hassasiyeti
Mobil kullanıcı daha savunmasızdır
Clickjacking ve CSRF Farkı
CSRF → Kullanıcı hiç tıklamaz
Clickjacking → Kullanıcı tıklar ama kandırılır
İrade farklı, sonuç aynıdır
Neden Fark Edilmez
Görsel her şey normaldir
Tarayıcı uyarı vermez
Saldırı sessizdir
X-Frame-Options Nedir
Sayfanın iframe içinde açılmasını engeller
DENY veya SAMEORIGIN
En temel savunmadır
CSP frame-ancestors
Daha modern ve esnek kontrol
Hangi domain’lerin gömebileceği belirlenir
İnce ayar imkânı sağlar
Görsel Hileleri Neden Tehlikelidir
Şeffaflık, konum kaydırma
CSS ile algı bozulur
Kullanıcı görerek yanılır
WAF Clickjacking’i Engeller mi
Hayır.
Trafik temizdir
Sorun tarayıcı davranışındadır
Clickjacking Nasıl Tespit Edilir
Anormal iframe referer’ları
UI ile uyumsuz işlem kayıtları
Olaylar incelenerek anlaşılır
Nasıl Önlenir
X-Frame-Options / CSP kullan
Kritik işlemler için ek onay
Görsel katmanlara güvenme
En Büyük Yanılgı
“Kullanıcı zaten tıklıyor.”
Ne tıkladığını bilmiyor olabilir
Güven, niyetle değil farkındalıkla olur
Son Söz Görünmeyen Katman, Görünür Zarardır
Clickjacking,
arayüz üzerinden yapılan bir manipülasyondur.
Kullanıcı doğru niyetle tıklar, yanlış sonuç üretir.
Güvenli sistem, yalnızca isteği değil bağlamı da doğrular.
“Kullanıcının gördüğüyle sistemin aldığı aynı değilse, güvenlik yoktur.”
— Ersan Karavelioğlu
