# Clickjacking
Jifunze AWS hacking kutoka sifuri hadi shujaa nahtARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!
Njia nyingine za kusaidia HackTricks:
* Ikiwa unataka kuona **kampuni yako ikitangazwa kwenye HackTricks** au **kupakua HackTricks kwa PDF** Angalia [**MIPANGO YA USAJILI**](https://github.com/sponsors/carlospolop)!
* Pata [**bidhaa rasmi za PEASS & HackTricks**](https://peass.creator-spring.com)
* Gundua [**Familia ya PEASS**](https://opensea.io/collection/the-peass-family), mkusanyiko wetu wa kipekee wa [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Jiunge na** 💬 [**Kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au kikundi cha [**telegram**](https://t.me/peass) au **tufuate** kwenye **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Shiriki mbinu zako za udukuzi kwa kuwasilisha PRs kwa** [**HackTricks**](https://github.com/carlospolop/hacktricks) na [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repos za github.
\
Tumia [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) kujenga na **kutomatisha mchakato** unaotumia zana za **jamii za juu zaidi** ulimwenguni.\
Pata Ufikiaji Leo:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
## Ni nini Clickjacking
Katika shambulio la clickjacking, **mtumiaji** anadanganywa kuwa **bonyeza** kwenye **elementi** kwenye ukurasa wa wavuti ambao ni **isiyoonekana** au imejificha kama elementi tofauti. Udanganyifu huu unaweza kusababisha matokeo yasiyotarajiwa kwa mtumiaji, kama vile kupakua zisizo, kupelekwa kwenye kurasa za wavuti zenye nia mbaya, utoaji wa vibali au habari nyeti, uhamishaji wa pesa, au ununuzi wa bidhaa mtandaoni.
### Mbinu ya kujaza fomu mapema
Maranyingi inawezekana **kujaza thamani ya uga wa fomu kwa kutumia vigezo vya GET wakati wa kupakia ukurasa**. Mshambuliaji anaweza kutumia tabia hii kujaza fomu na data ya kupotosha na kutuma mzigo wa clickjacking ili mtumiaji abonyeze kitufe cha Kutuma.
### Jaza fomu kwa Drag\&Drop
Ikiwa unahitaji mtumiaji **kujaza fomu** lakini hauitaki moja kwa moja kumuuliza aandike habari fulani maalum (kama barua pepe na au nenosiri maalum unalofahamu), unaweza kumwomba tu **Kuburuta&Kuachilia** kitu ambacho kitaiandika data yako iliyodhibitiwa kama katika [**mfano huu**](https://lutfumertceylan.com.tr/posts/clickjacking-acc-takeover-drag-drop/).
### Mzigo wa Msingi
```markup
Click me
```
### Mzigo wa Hatua Nyingi
```markup
Click me first
Click me next
```
### Buruta\&Acha + Bofya mzigo
```markup
.
1. Click and press delete button
3.Click me
2.DRAG ME TO THE RED BOX
```
### XSS + Clickjacking
Ikiwa umetambua **mshambulizi wa XSS ambao unahitaji mtumiaji kubonyeza** kwenye kipengele fulani ili **kuzindua** XSS na ukurasa huo ni **mdhaifu kwa clickjacking**, unaweza kutumia hilo kudanganya mtumiaji abonyeze kitufe/kiungo.
Mfano:
_Umeona **self XSS** katika baadhi ya maelezo ya siri ya akaunti (maelezo ambayo **wewe pekee unaweza kuweka na kusoma**). Ukurasa na **fomu** ya kuweka maelezo haya ni **mdhaifu** kwa **Clickjacking** na unaweza **kuweka tayari** **fomu** na vigezo vya GET._
\_\_Mshambulizi anaweza kuandaa shambulizi la **Clickjacking** kwenye ukurasa huo **ukiweka tayari** **fomu** na **kifurushi cha XSS** na **kudanganya** **mtumiaji** abonyeze **Kuthibitisha** fomu. Hivyo, **wakati fomu inapotumwa** na thamani zinabadilishwa, **mtumiaji atatekeleza XSS**.
## Mikakati ya Kupunguza Hatari ya Clickjacking
### Ulinzi wa Upande wa Mteja
Scripts zilizotekelezwa upande wa mteja zinaweza kutekeleza hatua za kuzuia Clickjacking:
* Kuhakikisha dirisha la programu ndio dirisha kuu au la juu.
* Kufanya fremu zote ziwezekane.
* Kuzuia kubonyeza kwenye fremu zisizoonekana.
* Kugundua na kuonya watumiaji kuhusu majaribio ya Clickjacking.
Hata hivyo, mifumo hii ya kuvunja fremu inaweza kuepukwa:
* **Mipangilio ya Usalama ya Vivinjari:** Baadhi ya vivinjari vinaweza kuzuia mifumo hii kulingana na mipangilio yao ya usalama au kukosekana kwa msaada wa JavaScript.
* **Sifa ya HTML5 ya `sandbox` ya iframe:** Mshambulizi anaweza kufuta mifumo ya kuvunja fremu kwa kuweka sifa ya `sandbox` na thamani za `allow-forms` au `allow-scripts` bila `allow-top-navigation`. Hii inazuia fremu kuhakiki ikiwa ni dirisha kuu, k.m.
```html
```
### Kinga za Upande wa Seva
#### X-Frame-Options
Kichwa cha majibu ya HTTP cha **`X-Frame-Options`** huijulisha vivinjari kuhusu uhalali wa kurejesha ukurasa katika `` au `