# Clickjacking
Jifunze AWS hacking kutoka sifuri hadi shujaa nahtARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!
Njia nyingine za kusaidia HackTricks:
* Ikiwa unataka kuona **kampuni yako ikitangazwa kwenye HackTricks** au **kupakua HackTricks kwa PDF** Angalia [**MIPANGO YA USAJILI**](https://github.com/sponsors/carlospolop)!
* Pata [**bidhaa rasmi za PEASS & HackTricks**](https://peass.creator-spring.com)
* Gundua [**Familia ya PEASS**](https://opensea.io/collection/the-peass-family), mkusanyiko wetu wa [**NFTs**](https://opensea.io/collection/the-peass-family) ya kipekee
* **Jiunge na** 💬 [**Kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au kikundi cha [**telegram**](https://t.me/peass) au **tufuate** kwenye **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Shiriki mbinu zako za udukuzi kwa kuwasilisha PRs kwa** [**HackTricks**](https://github.com/carlospolop/hacktricks) na [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repos za github.
\
Tumia [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) kujenga na **kutomatisha mchakato** unaotumia zana za **jamii za hali ya juu zaidi**.\
Pata Ufikiaji Leo:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
## Ni nini Clickjacking
Katika shambulio la clickjacking, **mtumiaji** anadanganywa kuwa **bonyeza** kwenye **elementi** kwenye ukurasa wa wavuti ambao ni **nusuonekana** au umefichwa kama elementi tofauti. Udanganyifu huu unaweza kusababisha matokeo yasiyotarajiwa kwa mtumiaji, kama vile kupakua zisizo, kupelekwa kwenye kurasa za wavuti zenye nia mbaya, kutoa vibali au habari nyeti, uhamishaji wa pesa, au ununuzi wa bidhaa mtandaoni.
### Mbinu ya kujaza fomu kabla
Maranyingi inawezekana **kujaza thamani ya uga wa fomu kwa kutumia vigezo vya GET wakati wa kupakia ukurasa**. Mshambuliaji anaweza kutumia tabia hii kujaza fomu na data ya kupotosha na kutuma mzigo wa clickjacking ili mtumiaji abonyeze kitufe cha Kutuma.
### Jaza fomu kwa Drag\&Drop
Ikiwa unahitaji mtumiaji **kujaza fomu** lakini hauitaki moja kwa moja kumuuliza aandike habari fulani maalum (kama barua pepe au nenosiri maalum unalofahamu), unaweza kumwomba tu **Kuburuta&Kuachia** kitu ambacho kitaiandika data yako iliyodhibitiwa kama katika [**mfano huu**](https://lutfumertceylan.com.tr/posts/clickjacking-acc-takeover-drag-drop/).
### Mzigo wa Msingi
```markup
Click me
```
### Mzigo wa Hatua Nyingi
```markup
Click me first
Click me next
```
### Buruta\&Acha + Bofya mzigo
```markup
.
1. Click and press delete button
3.Click me
2.DRAG ME TO THE RED BOX
```
### XSS + Clickjacking
Ikiwa umetambua **mshambulizi wa XSS ambao unahitaji mtumiaji kubonyeza** kwenye kipengele fulani ili **kuzindua** XSS na ukurasa huo ni **mdhaifu kwa clickjacking**, unaweza kutumia hilo kudanganya mtumiaji abonyeze kitufe/kiungo.
Mfano:
_Umeona **self XSS** katika baadhi ya maelezo ya siri ya akaunti (maelezo ambayo **wewe pekee unaweza kuweka na kusoma**). Ukurasa na **fomu** ya kuweka maelezo haya ni **mdhaifu** kwa **Clickjacking** na unaweza **kuweka tayari** **fomu** hiyo na vigezo vya GET._
\_\_Mshambulizi anaweza kuandaa shambulio la **Clickjacking** kwenye ukurasa huo **kuweka tayari** **fomu** na **XSS payload** na **kudanganya** **mtumiaji** abonyeze **Kuthibitisha** fomu. Hivyo, **wakati fomu inapotumwa** na thamani zinabadilishwa, **mtumiaji atatekeleza XSS**.
## Mikakati ya Kupunguza Hatari ya Clickjacking
### Ulinzi wa Upande wa Mteja
Scripts zilizotekelezwa upande wa mteja zinaweza kufanya hatua za kuzuia Clickjacking:
* Kuhakikisha dirisha la programu ndio dirisha kuu au la juu.
* Kufanya fremu zote ziwezekane.
* Kuzuia kubonyeza kwenye fremu zisizoonekana.
* Kugundua na kuonya watumiaji kuhusu majaribio ya Clickjacking.
Hata hivyo, hati hizi za kuvunja fremu zinaweza kuepukwa:
* **Mipangilio ya Usalama ya Vivinjari:** Baadhi ya vivinjari vinaweza kuzuia hati hizi kulingana na mipangilio yao ya usalama au kukosekana kwa msaada wa JavaScript.
* **Sifa ya HTML5 ya `sandbox` ya iframe:** Mshambulizi anaweza kufuta hati za kuvunja fremu kwa kuweka sifa ya `sandbox` na thamani za `allow-forms` au `allow-scripts` bila `allow-top-navigation`. Hii inazuia fremu kuhakiki ikiwa ni dirisha kuu, k.m.
```html
```
### Kinga za Upande wa Seva
#### X-Frame-Options
Kichwa cha majibu ya HTTP cha **`X-Frame-Options`** huijulisha vivinjari kuhusu uhalali wa kurejesha ukurasa katika `` au `