Clickjacking adı verilen tehdit OWASP New York AppSec 2008 konferansında anlatılacak ve tartısılacaktı ama Adobe ve diger etkilenen üretici firmaların ricası üzerine fix çıkana kadar açıklanmayacak.
Kesfin arkasındaki iki arastırmacı Robert Hansen ve Jeremiah Grossman açıgın seviyesi ile ilgili ufak bilgiler verdiler.
Clickjacking nedir?
"Maalesef, bulgularımızın bazıları kötü degil, çok kötü. O kadar kötü ki, sorumlulugunu tasıyarak duyurmamız gerektigini hissettik. Bir açık digerine yöneltti o da bir digerine ve güm - yakında açıklar ile ilgili pek çok yama çıkacak. Ve sadece bir kaç üretici firma ile çalıstık. Ve.. evet. Açık çok kötü."
Yarı kısıtlı OWASP prezentasyonunu izlemis birisi açıgın gerçekten zero-day (patch i yok) oldugu, tüm browser'ları etkiledigini ve Javascript ile alakası olmadıgını belirtiyor:
"Kabaca, kötü amaçlı bir web sitesini ziyaret ettiginizde saldırgan browser'ınızın ziyaret ettigi linklerin kontrolünü eline alabiliyor. Problem lynx türü olanlar hariç hemen hemen tüm browser'ları etkiliyor. Problemin javascript ile alakası yok ve javascript i kapatmanın yararı olmuyor. Browser2ların çalısma mantıgındaki bir hata ve bir yama ile basitçe kapanamayacak birsey. Bu açıkla, kötü amaçlı bir web sayfasına girdiginizde, kötü amaçlı kisi istediginiz linke, butona tıklamanızı saglıyor ve birsey görmüyorsunuz."
Firefox 2, 3, Internet Explorer tüm sürümleri (8 dahil), Opera, Safari browser'ları Clickjacking açıgından etkileniyor.
Kaynak:
Kod: Tümünü seç
http://blogs.zdnet.com/security/?p=1972Firefox Noscript eklentisinin yazarı Giorgio Maone Noscript ile %100 korunma saglanabilecegini söylüyor. Clickjacking ile ilgili olarak yayınladıgımız haberin yazarına asagıdaki epostayı göndermis:
"Merhaba,
Clickjacking haberinin yorumlarında Noscript in koruma saglamadıgı ile ilgili çok sayıda spekülasyon ve kafa karısıklıgı gördüm.
Bu açıgın nasıl oldugu ile ilgili detaylı bilgiye erisme imkanım oldu ve size asagıdakileri söyleyebilirim:
1. Gerçekten korkutucu bir açık.
2. NoScript varsayılan konfigürasyonu ile çogu saldırı senaryosunu durdurabilir (en pratik, etkili ve tehlikeli olanlarını).
3. NoScript ile %100 korunma saglamak için "Plugins|Forbid <IFRAME>" seçenegini isaretlemelisiniz.
Saygılar
Giorgio"
Firefox için NoScript indir:
Kod: Tümünü seç
http://noscript.net/getitKaynak:
Kod: Tümünü seç
http://blogs.zdnet.com/security/?p=1973
