Skip to main content

Clickjacking

Clickjacking (yoki UI redressing) — bu foydalanuvchini chalg‘itib, boshqa sayt yoki interfeysdagi yashirin tugma, link yoki shaklni bosishga majbur qilish orqali amalga oshiriladigan hujum turi.

Clickjacking qanday ishlaydi?

  • Hujumchi sayt foydalanuvchini o‘z saytiga jalb qiladi (masalan, "Sovg‘ani olish" sahifasi).
  • U sayt ustiga yashirin iframe joylashtirilgan bo‘ladi, bu iframe aslida boshqa (nishon) saytdan yuklangan.
  • Foydalanuvchi oddiy tugmani bosdim deb o‘ylaydi, lekin aslida iframe ichidagi haqiqiy tugmani bosadi.
  • Bu tugma, masalan, to‘lovni tasdiqlash, hisobdan chiqish, do‘st qo‘shish, yoki hatto admin’ga kirish funksiyasi bo‘lishi mumkin.

Clickjacking va CSRF farqi

Himoyalanish yo‘llari

  1. X-Frame-Options HTTP header – eng asosiy himoya vositasi:

    • DENY – hech qachon iframe ichida ko‘rsatilmasin.
    • SAMEORIGIN – faqat bir xil domen orqali iframe ichida ochilishiga ruxsat.
    • ALLOW-FROM uri – faqat ko‘rsatilgan manzildan iframe ichida ochilishi mumkin.

  2. Content Security Policy (CSP):

Content-Security-Policy: frame-ancestors 'none';

Yoki

Content-Security-Policy: frame-ancestors 'self';
  1. Frame detection in js
if (window.top !== window.self) {
    window.top.location = window.self.location;
}
  1. UI ko‘rinishini buzadigan elementlarni aniqlash va foydalanuvchidan tasdiq olish (masalan: reCAPTCHA yoki 2-bosqichli tasdiqlash).