# Clickjacking
AWS हैकिंग सीखें शून्य से लेकर हीरो तकhtARTE (HackTricks AWS Red Team Expert) के साथ!
HackTricks का समर्थन करने के अन्य तरीके:
* यदि आप चाहते हैं कि आपकी **कंपनी का विज्ञापन HackTricks में दिखाई दे** या **HackTricks को PDF में डाउनलोड करें**, तो [**सब्सक्रिप्शन प्लान्स**](https://github.com/sponsors/carlospolop) देखें!
* [**आधिकारिक PEASS & HackTricks स्वैग**](https://peass.creator-spring.com) प्राप्त करें
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) की खोज करें, हमारा विशेष [**NFTs**](https://opensea.io/collection/the-peass-family) संग्रह
* 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) में **शामिल हों** या [**telegram group**](https://t.me/peass) में या **Twitter** पर 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm) को **फॉलो** करें.
* **अपनी हैकिंग ट्रिक्स साझा करें** [**HackTricks**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos में PRs सबमिट करके.
\
[**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks) का उपयोग करके आसानी से **वर्कफ्लोज़ को बिल्ड और ऑटोमेट** करें जो दुनिया के **सबसे उन्नत** समुदाय टूल्स द्वारा संचालित होते हैं.\
आज ही एक्सेस प्राप्त करें:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
## Clickjacking क्या है
Clickjacking एक हमला है जो **उपयोगकर्ता** को **क्लिक** करने के लिए **चालाकी** से मजबूर करता है एक वेबपेज **तत्व** पर जो **अदृश्य** है या किसी अन्य तत्व के रूप में प्रच्छन्न है. इससे उपयोगकर्ता अनजाने में मैलवेयर डाउनलोड कर सकते हैं, मलिशियस वेब पेजों पर जा सकते हैं, क्रेडेंशियल्स या संवेदनशील जानकारी प्रदान कर सकते हैं, पैसे ट्रांसफर कर सकते हैं, या ऑनलाइन उत्पादों की खरीदारी कर सकते हैं. (यहाँ से [here](https://www.imperva.com/learn/application-security/clickjacking/)).
### Prepopulate forms trick
कभी-कभी पेज लोड करते समय GET पैरामीटर्स का उपयोग करके फॉर्म के फील्ड्स की वैल्यू को **भरना संभव** होता है. एक हमलावर इस व्यवहार का दुरुपयोग कर सकता है फॉर्म को मनमाने डेटा से भरने के लिए और क्लिकजैकिंग पेलोड भेज सकता है ताकि उपयोगकर्ता सबमिट बटन दबाए.
### Populate form with Drag\&Drop
यदि आप चाहते हैं कि उपयोगकर्ता **फॉर्म भरे** लेकिन आप सीधे उससे कुछ विशेष जानकारी (जैसे कि ईमेल और या विशेष पासवर्ड जो आप जानते हैं) लिखने के लिए नहीं कहना चाहते हैं, तो आप उससे केवल **Drag\&Drop** करने के लिए कह सकते हैं जो आपके नियंत्रित डेटा को लिखेगा जैसे कि [**इस उदाहरण**](https://lutfumertceylan.com.tr/posts/clickjacking-acc-takeover-drag-drop/) में.
### Basic Payload
```markup
Click me
```
### मल्टीस्टेप पेलोड
```markup
Click me first
Click me next
```
### ड्रैग\&ड्रॉप + क्लिक पेलोड
```markup
.
1. Click and press delete button
3.Click me
2.DRAG ME TO THE RED BOX
```
### XSS + Clickjacking
यदि आपने एक **XSS हमले की पहचान की है जिसके लिए उपयोगकर्ता को किसी तत्व पर क्लिक करने की आवश्यकता होती है** ताकि XSS को **ट्रिगर** किया जा सके और पृष्ठ **Clickjacking के लिए संवेदनशील हो**, तो आप इसका दुरुपयोग करके उपयोगकर्ता को बटन/लिंक पर क्लिक करने के लिए चालाकी से बहका सकते हैं।\
उदाहरण:\
_आपने खाते की कुछ निजी जानकारियों में एक **self XSS** का पता लगाया है (जानकारियां जो **केवल आप सेट और पढ़ सकते हैं**). इन विवरणों को सेट करने के लिए पृष्ठ **Clickjacking के लिए संवेदनशील** है और आप GET पैरामीटर्स के साथ **फॉर्म को पूर्व-पॉपुलेट** कर सकते हैं।_\
\_\_एक हमलावर उस पृष्ठ पर **Clickjacking** हमले की तैयारी कर सकता है **फॉर्म को XSS पेलोड के साथ पूर्व-पॉपुलेट** करके और **उपयोगकर्ता को फॉर्म सबमिट** करने के लिए **चालाकी से बहका** सकता है। इसलिए, **जब फॉर्म सबमिट किया जाता है** और मान बदले जाते हैं, तो **उपयोगकर्ता XSS को निष्पादित करेगा**।
## Clickjacking से बचने के उपाय
### क्लाइंट साइड रक्षा
Clickjacking को रोकने के लिए क्लाइंट साइड पर स्क्रिप्ट्स को निष्पादित करना संभव है जो निम्नलिखित व्यवहारों में से कुछ या सभी को करते हैं:
* जांचें और सुनिश्चित करें कि वर्तमान एप्लिकेशन विंडो मुख्य या टॉप विंडो है,
* सभी फ्रेम्स को दृश्यमान बनाएं,
* अदृश्य फ्रेम्स पर क्लिक करने से रोकें,
* उपयोगकर्ता पर संभावित Clickjacking हमलों को इंटरसेप्ट करें और चिह्नित करें।
#### बाईपास
चूंकि फ्रेम बस्टर्स JavaScript हैं, इसलिए ब्राउज़र की सुरक्षा सेटिंग्स उनके संचालन को रोक सकती हैं या वास्तव में ब्राउज़र JavaScript का समर्थन भी नहीं कर सकता है। फ्रेम बस्टर्स के खिलाफ एक प्रभावी हमलावर वर्कअराउंड **HTML5 iframe `sandbox` विशेषता** का उपयोग करना है। जब इसे `allow-forms` या `allow-scripts` मानों के साथ सेट किया जाता है और `allow-top-navigation` मान को छोड़ दिया जाता है, तो फ्रेम बस्टर स्क्रिप्ट को निष्क्रिय किया जा सकता है क्योंकि iframe यह जांच नहीं कर सकता है कि क्या यह टॉप विंडो है या नहीं:
```markup
```
```
`allow-forms` और `allow-scripts` मान iframe के भीतर निर्दिष्ट क्रियाओं की अनुमति देते हैं लेकिन शीर्ष-स्तरीय नेविगेशन अक्षम होता है। यह फ्रेम बस्टिंग व्यवहारों को रोकता है जबकि लक्षित साइट के भीतर कार्यक्षमता की अनुमति देता है।
Clickjacking हमले के प्रकार के आधार पर **आपको अनुमति देने की आवश्यकता हो सकती है**: `allow-same-origin` और `allow-modals` या [और भी अधिक](https://www.w3schools.com/tags/att_iframe_sandbox.asp)। हमले की तैयारी करते समय बस ब्राउज़र के कंसोल की जांच करें, यह आपको बता सकता है कि आपको कौन से अन्य व्यवहारों की अनुमति देने की आवश्यकता है।
### X-Frame-Options
**`X-Frame-Options` HTTP प्रतिक्रिया हेडर** का उपयोग यह इंगित करने के लिए किया जा सकता है कि क्या एक ब्राउज़र को `` या `
 (1) (1) (1).png)