๐Ÿ–ฑ️ Level 9 – Clickjacking Attack (Bangla + English Guide)

๐Ÿ” Clickjacking Attack เฆ•ী?
Clickjacking เฆนเฆฒো เฆเฆ•เฆŸি เฆ“เงŸেเฆฌ เฆ†เฆ•্เฆฐเฆฎเฆฃেเฆฐ เฆงเฆฐเฆจ เฆฏেเฆ–াเฆจে เฆ…্เฆฏাเฆŸাเฆ•াเฆฐ เฆฌ্เฆฏเฆฌเฆนাเฆฐเฆ•াเฆฐীเฆฐ เฆ•্เฆฒিเฆ•เฆ•ে เฆช্เฆฐเฆคাเฆฐเฆฃাเฆฐ เฆฎাเฆง্เฆฏเฆฎে เฆ…เฆจ্เฆฏ เฆ•িเฆ›ুเฆฐ เฆ‰เฆชเฆฐে เฆจিเฆฏ়ে เฆ†เฆธে, เฆฏাเฆคে เฆฌ্เฆฏเฆฌเฆนাเฆฐเฆ•াเฆฐী เฆ…เฆœাเฆจ্เฆคে เฆ•্เฆทเฆคিเฆ•เฆฐ เฆ•াเฆœ เฆ•เฆฐে। เฆธাเฆงাเฆฐเฆฃเฆค, เฆ“เฆฏ়েเฆฌเฆธাเฆ‡เฆŸেเฆฐ UI-เฆเฆฐ เฆ‰เฆชเฆฐে เฆเฆ•เฆŸি เฆ…เฆฆৃเฆถ্เฆฏ เฆฌা เฆงূเฆธเฆฐ เฆฒেเฆฏ়াเฆฐ เฆฌเฆธিเฆฏ়ে เฆฌ্เฆฏเฆฌเฆนাเฆฐเฆ•াเฆฐীเฆฐ เฆ•্เฆฒিเฆ• เฆ…เฆจ্เฆฏ เฆ•োเฆจো เฆฌাเฆŸเฆจে เฆฌা เฆฒিเฆ™্เฆ•ে เฆšเฆฒে เฆฏাเฆฏ়।

What is Clickjacking Attack?
Clickjacking is a malicious technique where an attacker tricks a user into clicking on something different from what the user perceives, potentially performing unintended actions such as changing settings or revealing confidential information.


⚙️ Clickjacking เฆเฆฐ เฆ•াเฆœ เฆ•เฆฐাเฆฐ เฆช্เฆฐเฆ•্เฆฐিเฆฏ়া / How Clickjacking Works

เฆ…্เฆฏাเฆŸাเฆ•াเฆฐ เฆเฆ•เฆŸি เฆญুเฆ•্เฆคเฆญোเฆ—ী เฆ“เงŸেเฆฌเฆธাเฆ‡เฆŸেเฆฐ เฆชেเฆœเฆ•ে iframe เฆเฆฐ เฆฎাเฆง্เฆฏเฆฎে เฆคাเฆฐ เฆจিเฆœেเฆฐ เฆชেเฆœে เฆฒুเฆ•িเฆฏ়ে เฆฐাเฆ–ে। เฆคাเฆฐเฆชเฆฐ เฆฌ্เฆฏเฆฌเฆนাเฆฐเฆ•াเฆฐীเฆฐ เฆ•্เฆฒিเฆ• เฆ…เฆจ্เฆฏ เฆ•োเฆจো เฆ—ুเฆฐুเฆค্เฆฌเฆชূเฆฐ্เฆฃ เฆ•াเฆœ เฆฏেเฆฎเฆจ เฆฌাเฆŸเฆจ เฆช্เฆฐেเฆธ, เฆซเฆฐ্เฆฎ เฆธাเฆฌเฆฎিเฆŸ, เฆฌা เฆฒাเฆ‡เฆ• เฆฆেเฆ“เฆฏ়া เฆ‡เฆค্เฆฏাเฆฆিเฆคে เฆฐিเฆกাเฆ‡เฆฐেเฆ•্เฆŸ เฆ•เฆฐে। เฆฌ্เฆฏเฆฌเฆนাเฆฐเฆ•াเฆฐী เฆฎเฆจে เฆ•เฆฐে เฆคাเฆฐা เฆธাเฆงাเฆฐเฆฃ เฆ•িเฆ›ু เฆ•เฆฐเฆ›ে, เฆ•িเฆจ্เฆคু เฆช্เฆฐเฆ•ৃเฆคเฆชเฆ•্เฆทে เฆคাเฆฆেเฆฐ เฆ•্เฆฒিเฆ• เฆ…เฆจ্เฆฏ เฆ•িเฆ›ু เฆนเฆš্เฆ›ে।

The attacker embeds the victim site inside an invisible iframe on their own malicious page. When the user clicks, their click is hijacked and redirected to perform actions on the hidden page without their knowledge.


๐Ÿ› ️ เฆฌ্เฆฏเฆฌเฆนৃเฆค เฆŸেเฆ•เฆจিเฆ• เฆเฆฌং เฆŸুเฆฒเฆธ / Techniques & Tools

  • ✔️ HTML iframe tag manipulation
  • ✔️ CSS tricks to hide or overlay elements (opacity, z-index)
  • ✔️ Social engineering with fake buttons or links
  • ✔️ Browser Developer Tools for testing
  • ✔️ Content Security Policy (CSP) to prevent framing

๐Ÿ” เฆฌাเฆธ্เฆคเฆฌ เฆ‰เฆฆাเฆนเฆฐเฆฃ / Real World Example

เงจเงฆเงงเงฆ เฆธাเฆฒে, เฆฌেเฆถ เฆ•িเฆ›ু เฆœเฆจเฆช্เฆฐিเฆฏ় เฆ“เงŸেเฆฌเฆธাเฆ‡เฆŸে Clickjacking เฆเฆฐ เฆฎাเฆง্เฆฏเฆฎে เฆฌ্เฆฏเฆฌเฆนাเฆฐเฆ•াเฆฐীเฆฐ Facebook Like, Twitter Follow เฆฌা เฆเฆฎเฆจเฆ•ি PayPal Payment-เฆ เฆนเฆธ্เฆคเฆ•্เฆทেเฆช เฆนเงŸেเฆ›িเฆฒ। เฆฌ্เฆฏเฆฌเฆนাเฆฐเฆ•াเฆฐীเฆฐা เฆ…เฆœাเฆจ্เฆคে เฆคাเฆฆেเฆฐ เฆ…เฆจুเฆฎเฆคি เฆ›াเงœা เฆฌিเฆญিเฆจ্เฆจ เฆ•াเฆœ เฆ•เฆฐেเฆ›িเฆฒো।

In 2010, several popular websites were targeted with Clickjacking attacks where attackers tricked users into clicking on Facebook Likes, Twitter Follows, or PayPal Payments without their consent.


๐Ÿ›ก️ เฆช্เฆฐเฆคিเฆฐোเฆง เฆ“ เฆธเฆฎাเฆงাเฆจ / Prevention & Mitigation

  • ✅ X-Frame-Options HTTP header เฆฌ্เฆฏเฆฌเฆนাเฆฐ เฆ•เฆฐে เฆ“เงŸেเฆฌเฆชেเฆœ เฆซ্เฆฐেเฆฎিং เฆฅেเฆ•ে เฆฐเฆ•্เฆทা เฆชাเฆ“เงŸা เฆฏাเงŸ।
  • ✅ Content Security Policy (CSP) เฆเฆฐ เฆฎাเฆง্เฆฏเฆฎে เฆซ্เฆฐেเฆฎিং เฆจিเงŸเฆจ্เฆค্เฆฐเฆฃ เฆ•เฆฐা เฆฏাเงŸ।
  • ✅ UI เฆ‰เฆชাเฆฆাเฆจเฆ—ুเฆฒো เฆธ্เฆชเฆท্เฆŸเฆญাเฆฌে เฆกিเฆœাเฆ‡เฆจ เฆ•เฆฐুเฆจ เฆฏাเฆคে เฆฌ্เฆฏเฆฌเฆนাเฆฐเฆ•াเฆฐী เฆฌুเฆเฆคে เฆชাเฆฐে เฆ•ি เฆ•্เฆฒিเฆ• เฆ•เฆฐเฆ›ে।
  • ✅ เฆœাเฆญাเฆธ্เฆ•্เฆฐিเฆช্เฆŸ เฆฆিเงŸে เฆซ্เฆฐেเฆฎ เฆšেเฆ• เฆ•เฆฐে เฆช্เฆฏাเฆฐেเฆจ্เฆŸ เฆชেเฆœ เฆšেเฆ• เฆ•เฆฐা เฆฏেเฆคে เฆชাเฆฐে เฆเฆฌং เฆซ্เฆฐেเฆฎ เฆฌเฆจ্เฆง เฆ•เฆฐা เฆฏাเงŸ।
  • ✅ เฆฌ্เฆฏเฆฌเฆนাเฆฐเฆ•াเฆฐীเฆฆেเฆฐ เฆธเฆšেเฆคเฆจ เฆ•เฆฐুเฆจ เฆฏেเฆจ เฆธเฆจ্เฆฆেเฆนเฆœเฆจเฆ• เฆ“เงŸেเฆฌเฆธাเฆ‡เฆŸে เฆ•্เฆฒিเฆ• เฆจা เฆ•เฆฐে।

๐Ÿ’ป Practical Demo Code / เฆช্เฆฐাเฆ•เฆŸিเฆ•্เฆฏাเฆฒ เฆ•োเฆก เฆ‰เฆฆাเฆนเฆฐเฆฃ

Example of vulnerable iframe embedding:

<iframe src="http://victimsite.com" width="500" height="500" style="opacity:0; position:absolute; top:0; left:0; z-index:10;"></iframe>

Using X-Frame-Options header to prevent framing:

X-Frame-Options: DENY

⚠️ เฆธเฆคเฆฐ্เฆ•เฆคা / Warning

Clickjacking เฆ…্เฆฏাเฆŸাเฆ• เฆ–ুเฆฌเฆ‡ เฆฎাเฆฐাเฆค্เฆฎเฆ• เฆเฆฌং เฆ…เฆจেเฆ• เฆธเฆฎเงŸ เฆฌ্เฆฏเฆฌเฆนাเฆฐเฆ•াเฆฐীเฆฐ เฆฌ্เฆฏเฆ•্เฆคিเฆ—เฆค เฆคเฆฅ্เฆฏ เฆšুเฆฐি เฆนเฆคে เฆชাเฆฐে। เฆ…เฆฌเฆถ্เฆฏเฆ‡ เฆจিเฆฐাเฆชเฆค্เฆคা เฆฌ্เฆฏเฆฌเฆธ্เฆฅা เฆจিเฆจ เฆเฆฌং เฆฏেเฆ•োเฆจো เฆธเฆจ্เฆฆেเฆนเฆœเฆจเฆ• เฆ“เฆฏ়েเฆฌเฆธাเฆ‡เฆŸ เฆเฆก়িเฆฏ়ে เฆšเฆฒুเฆจ।


๐Ÿงช Practice Task / เฆšเฆฐ্เฆšাเฆฐ เฆ•াเฆœ

  1. เฆจিเฆœেเฆฐ เฆ“เงŸেเฆฌเฆธাเฆ‡เฆŸে iframe เฆฆিเงŸে เฆ…เฆจ্เฆฏ เฆชেเฆœ เฆเฆฎ্เฆฌেเฆก เฆ•เฆฐুเฆจ เฆเฆฌং opacity เฆฆিเงŸে Clickjacking เฆธিเฆฎুเฆฒেเฆŸ เฆ•เฆฐুเฆจ।
  2. เฆ“เงŸেเฆฌ เฆธাเฆฐ্เฆญাเฆฐেเฆฐ เฆฎাเฆง্เฆฏเฆฎে X-Frame-Options เฆนেเฆกাเฆฐ เฆฏোเฆ— เฆ•เฆฐুเฆจ เฆเฆฌং เฆฌ্เฆฐাเฆ‰เฆœাเฆฐে เฆชเฆฐীเฆ•্เฆทা เฆ•เฆฐুเฆจ।
  3. Content Security Policy (CSP) เฆธেเฆŸিংเฆธ เฆจিเงŸে เฆ—เฆฌেเฆทเฆฃা เฆ•เฆฐুเฆจ เฆเฆฌং เฆช্เฆฐเงŸোเฆ— เฆ•เฆฐুเฆจ।
  4. เฆฌিเฆญিเฆจ্เฆจ เฆฌ্เฆฐাเฆ‰เฆœাเฆฐে Clickjacking เฆช্เฆฐเฆคিเฆฐোเฆงেเฆฐ เฆชাเฆฐ্เฆฅเฆ•্เฆฏ เฆฌুเฆুเฆจ।

๐Ÿ“Œ Tags / เฆฒেเฆฌেเฆฒเฆธ

Clickjacking, Web Security, Ethical Hacking, UI Redress Attack, Bangla Cybersecurity, Web Hacking


๐Ÿ”ฅ Written by A1 Hacker of Bangladesh – Learn Ethical Hacking in Bangla