๐ฑ️ Level 9 – Clickjacking Attack (Bangla + English Guide)
๐ Clickjacking Attack เฆী?
Clickjacking เฆนเฆฒো เฆเฆเฆি เฆเงেเฆฌ เฆเฆ্เฆฐเฆฎเฆฃেเฆฐ เฆงเฆฐเฆจ เฆฏেเฆাเฆจে เฆ
্เฆฏাเฆাเฆাเฆฐ เฆฌ্เฆฏเฆฌเฆนাเฆฐเฆাเฆฐীเฆฐ เฆ্เฆฒিเฆเฆে เฆช্เฆฐเฆคাเฆฐเฆฃাเฆฐ เฆฎাเฆง্เฆฏเฆฎে เฆ
เฆจ্เฆฏ เฆিเฆুเฆฐ เฆเฆชเฆฐে เฆจিเฆฏ়ে เฆเฆธে, เฆฏাเฆคে เฆฌ্เฆฏเฆฌเฆนাเฆฐเฆাเฆฐী เฆ
เฆাเฆจ্เฆคে เฆ্เฆทเฆคিเฆเฆฐ เฆাเฆ เฆเฆฐে। เฆธাเฆงাเฆฐเฆฃเฆค, เฆเฆฏ়েเฆฌเฆธাเฆเฆেเฆฐ UI-เฆเฆฐ เฆเฆชเฆฐে เฆเฆเฆি เฆ
เฆฆৃเฆถ্เฆฏ เฆฌা เฆงূเฆธเฆฐ เฆฒেเฆฏ়াเฆฐ เฆฌเฆธিเฆฏ়ে เฆฌ্เฆฏเฆฌเฆนাเฆฐเฆাเฆฐীเฆฐ เฆ্เฆฒিเฆ เฆ
เฆจ্เฆฏ เฆোเฆจো เฆฌাเฆเฆจে เฆฌা เฆฒিเฆ্เฆে เฆเฆฒে เฆฏাเฆฏ়।
What is Clickjacking Attack?
Clickjacking is a malicious technique where an attacker tricks a user into clicking on something different from what the user perceives, potentially performing unintended actions such as changing settings or revealing confidential information.
⚙️ Clickjacking เฆเฆฐ เฆাเฆ เฆเฆฐাเฆฐ เฆช্เฆฐเฆ্เฆฐিเฆฏ়া / How Clickjacking Works
เฆ ্เฆฏাเฆাเฆাเฆฐ เฆเฆเฆি เฆญুเฆ্เฆคเฆญোเฆী เฆเงেเฆฌเฆธাเฆเฆেเฆฐ เฆชেเฆเฆে iframe เฆเฆฐ เฆฎাเฆง্เฆฏเฆฎে เฆคাเฆฐ เฆจিเฆেเฆฐ เฆชেเฆে เฆฒুเฆিเฆฏ়ে เฆฐাเฆে। เฆคাเฆฐเฆชเฆฐ เฆฌ্เฆฏเฆฌเฆนাเฆฐเฆাเฆฐীเฆฐ เฆ্เฆฒিเฆ เฆ เฆจ্เฆฏ เฆোเฆจো เฆুเฆฐুเฆค্เฆฌเฆชূเฆฐ্เฆฃ เฆাเฆ เฆฏেเฆฎเฆจ เฆฌাเฆเฆจ เฆช্เฆฐেเฆธ, เฆซเฆฐ্เฆฎ เฆธাเฆฌเฆฎিเฆ, เฆฌা เฆฒাเฆเฆ เฆฆেเฆเฆฏ়া เฆเฆค্เฆฏাเฆฆিเฆคে เฆฐিเฆกাเฆเฆฐেเฆ্เฆ เฆเฆฐে। เฆฌ্เฆฏเฆฌเฆนাเฆฐเฆাเฆฐী เฆฎเฆจে เฆเฆฐে เฆคাเฆฐা เฆธাเฆงাเฆฐเฆฃ เฆিเฆু เฆเฆฐเฆে, เฆিเฆจ্เฆคু เฆช্เฆฐเฆৃเฆคเฆชเฆ্เฆทে เฆคাเฆฆেเฆฐ เฆ্เฆฒিเฆ เฆ เฆจ্เฆฏ เฆিเฆু เฆนเฆ্เฆে।
The attacker embeds the victim site inside an invisible iframe on their own malicious page. When the user clicks, their click is hijacked and redirected to perform actions on the hidden page without their knowledge.
๐ ️ เฆฌ্เฆฏเฆฌเฆนৃเฆค เฆেเฆเฆจিเฆ เฆเฆฌং เฆুเฆฒเฆธ / Techniques & Tools
- ✔️ HTML iframe tag manipulation
- ✔️ CSS tricks to hide or overlay elements (opacity, z-index)
- ✔️ Social engineering with fake buttons or links
- ✔️ Browser Developer Tools for testing
- ✔️ Content Security Policy (CSP) to prevent framing
๐ เฆฌাเฆธ্เฆคเฆฌ เฆเฆฆাเฆนเฆฐเฆฃ / Real World Example
เงจเงฆเงงเงฆ เฆธাเฆฒে, เฆฌেเฆถ เฆিเฆু เฆเฆจเฆช্เฆฐিเฆฏ় เฆเงেเฆฌเฆธাเฆเฆে Clickjacking เฆเฆฐ เฆฎাเฆง্เฆฏเฆฎে เฆฌ্เฆฏเฆฌเฆนাเฆฐเฆাเฆฐীเฆฐ Facebook Like, Twitter Follow เฆฌা เฆเฆฎเฆจเฆি PayPal Payment-เฆ เฆนเฆธ্เฆคเฆ্เฆทেเฆช เฆนเงেเฆিเฆฒ। เฆฌ্เฆฏเฆฌเฆนাเฆฐเฆাเฆฐীเฆฐা เฆ เฆাเฆจ্เฆคে เฆคাเฆฆেเฆฐ เฆ เฆจুเฆฎเฆคি เฆাเงা เฆฌিเฆญিเฆจ্เฆจ เฆাเฆ เฆเฆฐেเฆিเฆฒো।
In 2010, several popular websites were targeted with Clickjacking attacks where attackers tricked users into clicking on Facebook Likes, Twitter Follows, or PayPal Payments without their consent.
๐ก️ เฆช্เฆฐเฆคিเฆฐোเฆง เฆ เฆธเฆฎাเฆงাเฆจ / Prevention & Mitigation
- ✅ X-Frame-Options HTTP header เฆฌ্เฆฏเฆฌเฆนাเฆฐ เฆเฆฐে เฆเงেเฆฌเฆชেเฆ เฆซ্เฆฐেเฆฎিং เฆฅেเฆে เฆฐเฆ্เฆทা เฆชাเฆเงা เฆฏাเง।
- ✅ Content Security Policy (CSP) เฆเฆฐ เฆฎাเฆง্เฆฏเฆฎে เฆซ্เฆฐেเฆฎিং เฆจিเงเฆจ্เฆค্เฆฐเฆฃ เฆเฆฐা เฆฏাเง।
- ✅ UI เฆเฆชাเฆฆাเฆจเฆুเฆฒো เฆธ্เฆชเฆท্เฆเฆญাเฆฌে เฆกিเฆাเฆเฆจ เฆเฆฐুเฆจ เฆฏাเฆคে เฆฌ্เฆฏเฆฌเฆนাเฆฐเฆাเฆฐী เฆฌুเฆเฆคে เฆชাเฆฐে เฆি เฆ্เฆฒিเฆ เฆเฆฐเฆে।
- ✅ เฆাเฆญাเฆธ্เฆ্เฆฐিเฆช্เฆ เฆฆিเงে เฆซ্เฆฐেเฆฎ เฆেเฆ เฆเฆฐে เฆช্เฆฏাเฆฐেเฆจ্เฆ เฆชেเฆ เฆেเฆ เฆเฆฐা เฆฏেเฆคে เฆชাเฆฐে เฆเฆฌং เฆซ্เฆฐেเฆฎ เฆฌเฆจ্เฆง เฆเฆฐা เฆฏাเง।
- ✅ เฆฌ্เฆฏเฆฌเฆนাเฆฐเฆাเฆฐীเฆฆেเฆฐ เฆธเฆেเฆคเฆจ เฆเฆฐুเฆจ เฆฏেเฆจ เฆธเฆจ্เฆฆেเฆนเฆเฆจเฆ เฆเงেเฆฌเฆธাเฆเฆে เฆ্เฆฒিเฆ เฆจা เฆเฆฐে।
๐ป Practical Demo Code / เฆช্เฆฐাเฆเฆিเฆ্เฆฏাเฆฒ เฆোเฆก เฆเฆฆাเฆนเฆฐเฆฃ
Example of vulnerable iframe embedding:
<iframe src="http://victimsite.com" width="500" height="500" style="opacity:0; position:absolute; top:0; left:0; z-index:10;"></iframe>
Using X-Frame-Options header to prevent framing:
X-Frame-Options: DENY
⚠️ เฆธเฆคเฆฐ্เฆเฆคা / Warning
Clickjacking เฆ ্เฆฏাเฆাเฆ เฆুเฆฌเฆ เฆฎাเฆฐাเฆค্เฆฎเฆ เฆเฆฌং เฆ เฆจেเฆ เฆธเฆฎเง เฆฌ্เฆฏเฆฌเฆนাเฆฐเฆাเฆฐীเฆฐ เฆฌ্เฆฏเฆ্เฆคিเฆเฆค เฆคเฆฅ্เฆฏ เฆুเฆฐি เฆนเฆคে เฆชাเฆฐে। เฆ เฆฌเฆถ্เฆฏเฆ เฆจিเฆฐাเฆชเฆค্เฆคা เฆฌ্เฆฏเฆฌเฆธ্เฆฅা เฆจিเฆจ เฆเฆฌং เฆฏেเฆোเฆจো เฆธเฆจ্เฆฆেเฆนเฆเฆจเฆ เฆเฆฏ়েเฆฌเฆธাเฆเฆ เฆเฆก়িเฆฏ়ে เฆเฆฒুเฆจ।
๐งช Practice Task / เฆเฆฐ্เฆাเฆฐ เฆাเฆ
- เฆจিเฆেเฆฐ เฆเงেเฆฌเฆธাเฆเฆে iframe เฆฆিเงে เฆ เฆจ্เฆฏ เฆชেเฆ เฆเฆฎ্เฆฌেเฆก เฆเฆฐুเฆจ เฆเฆฌং opacity เฆฆিเงে Clickjacking เฆธিเฆฎুเฆฒেเฆ เฆเฆฐুเฆจ।
- เฆเงেเฆฌ เฆธাเฆฐ্เฆญাเฆฐেเฆฐ เฆฎাเฆง্เฆฏเฆฎে X-Frame-Options เฆนেเฆกাเฆฐ เฆฏোเฆ เฆเฆฐুเฆจ เฆเฆฌং เฆฌ্เฆฐাเฆเฆাเฆฐে เฆชเฆฐীเฆ্เฆทা เฆเฆฐুเฆจ।
- Content Security Policy (CSP) เฆธেเฆিংเฆธ เฆจিเงে เฆเฆฌেเฆทเฆฃা เฆเฆฐুเฆจ เฆเฆฌং เฆช্เฆฐเงোเฆ เฆเฆฐুเฆจ।
- เฆฌিเฆญিเฆจ্เฆจ เฆฌ্เฆฐাเฆเฆাเฆฐে Clickjacking เฆช্เฆฐเฆคিเฆฐোเฆงেเฆฐ เฆชাเฆฐ্เฆฅเฆ্เฆฏ เฆฌুเฆুเฆจ।
๐ Tags / เฆฒেเฆฌেเฆฒเฆธ
Clickjacking, Web Security, Ethical Hacking, UI Redress Attack, Bangla Cybersecurity, Web Hacking
๐ฅ Written by A1 Hacker of Bangladesh – Learn Ethical Hacking in Bangla
0 Comments
“Please share your thoughts or questions below. Only Google account users can comment.”