ساخت اسکنر کلیک‌جکینگ با پایتون

**D3F417** · اُکتُبر 16 2024

درود! بعد مدت ها اومدم با یکم فعالیت درست و خاص 🥷

مقدمه

کلیک‌جکینگ یه تکنیک مخربه که مهاجمین ازش برای گول زدن کاربران و وادار کردن اونها به کلیک روی چیزی متفاوت از چیزی که می‌بینن، استفاده می‌کنن. این کار معمولاً با جاسازی یه وب‌سایت معتبر درون یه iframe نامرئی و قرار دادنش روی یه صفحه مخرب انجام می‌شه. وقتی کاربر با صفحه تعامل می‌کنه، ناخواسته روی سایت جاسازی شده عملیاتی انجام می‌ده، مثلاً لایک کردن یه پست، سابمیت یه فرم یا حتی انجام تراکنش.

کلیک‌جکینگ می‌تونه برای موارد زیر هم استفاده بشه:

سرقت داده: مهاجمین می‌تونن با فریب کاربران برای سابمیت فرم یا وارد کردن اطلاعات حساس، از کلیک‌جکینگ برای سرقت اطلاعات استفاده کنن.
توزیع بدافزار: کلیک‌جکینگ می‌تونه برای دانلود و اجرای بدافزار روی سیستم قربانی استفاده بشه.

مقابله با کلیک‌جکینگ

برای محافظت از وب‌سایت‌ها در برابر کلیک‌جکینگ، توسعه‌دهندگان وب یا متخصصان امنیت می‌تونن از هدرهای HTTP خاصی استفاده کنن که نحوه جاسازی وب‌سایت در فریم‌ها رو کنترل می‌کنه. هدرهای اصلی عبارتند از:

X-Frame-Options: این هدر سه مقدار می‌پذیره:
- DENY: مانع از نمایش صفحه در هر iframe ای می‌شه.
- SAMEORIGIN: اجازه می‌ده صفحه فقط توسط صفحاتی از همون مبدأ (origin) فریم بشه.
- ALLOW-FROM uri: اجازه می‌ده صفحه فقط توسط مبدأ مشخص شده فریم بشه. هرچند، این روش منسوخ شده و پشتیبانی گسترده‌ای نداره.
Content-Security-Policy (CSP): به‌ویژه، دستورالعمل frame-ancestors می‌تونه برای کنترل دامنه‌هایی که مجاز به فریم کردن محتوا هستن، استفاده بشه.

در برنامه ما، X-Frame-Options رو بررسی می‌کنیم تا مشخص کنیم یه وب‌سایت نسبت به کلیک‌جکینگ آسیب‌پذیره یا نه.

بررسی آسیب‌پذیری‌های کلیک‌جکینگ با پایتون

برای شروع، مطمئن بشید پایتون ۳ و کتابخانه requests نصب شده. از کتابخانه requests برای ارسال درخواست‌های HTTP به وب‌سایتی که می‌خوایم بررسی کنیم، استفاده می‌کنیم. می‌تونید requests رو با دستور زیر نصب کنید: