PortSwigger – Network Academy 

Clickjacking témakör:

Mi is az a PortSwigger Network Academy?

A PortSwigger Network Academy a világ egyik legismertebb és legjobban felépített webes biztonsági tanfolyama, amely teljesen ingyenesen elérhető. Azok számára jött létre, akik komolyan szeretnének elmélyedni az olyan webes sebezhetőségekben, mint a XSS, clickjacking vagy CSRF – kezdő szinttől egészen haladó szintig. A Burp Suite fejlesztői által készített platform olyan laboratóriumi környezetet biztosít, amelyben valós, böngésző-alapú támadásokat modellezhetsz. Mindezt teljesen biztonságosan.

Nem csupán egy „elméleti tananyag”, hanem egy valódi interaktív hacker tanulópálya, ahol megtanulhatod, hogyan gondolkodik egy támadó – és hogyan védekezhetsz ellene.

👉 Indulás itt: https://portswigger.net/web-security

Clickjacking: Az átlátszó manipuláció művészete

A clickjacking támadás különösen alattomos, hiszen vizuálisan manipulálja a felhasználót. Egy iframe-be ágyazott, átlátszó réteg segítségével a támadó a felhasználót olyan interakcióra veszi rá, amiről ő mit sem sejt. Például:

• Facebook “Like” gomb hamisítása

• Banki tranzakciók jóváhagyása titokban

• Jelszóváltoztatás “álűrlap” segítségével

Ez a támadás UI szinten történik, és gyakran a felhasználók pszichológiáját használja ki.

Clickjacking labor: Mit tanulhatsz meg?

A Clickjacking vulnerability lab során egy valós webes célpontot kapsz, ahol:

• IFrame segítségével elfeded az oldalt
• Átlátszó réteg mögött a felhasználó tudtán kívül kattint
• Tanulsz a X-Frame-Options fejlécről, amely védekezik a támadás ellen
• Kódolsz egy működő clickjacking támadó oldalt

Ezzel a gyakorlattal nemcsak a támadást ismered meg, hanem a megelőzést is.

DOM-based XSS és a Multistep DOM XSS labor

A DOM XSS különösen alattomos, mert a támadás kizárólag kliensoldalon zajlik, például:

• URL paraméterből bekerül egy <script> a DOM-ba
• JavaScript dinamikusan renderel egy input mezőt
• A szerver semmit sem lát – minden böngészőben történik

A DOM XSS lab megtanítja:

• Hogyan manipulálható a document.location, innerHTML, stb.
• Hogyan detektálható a DOM alapú XSS
• Burp Suite Inspector használata DOM nyomozáshoz

A Multistep DOM XSS labor még egy lépéssel továbbmegy:

• Többlépcsős folyamaton keresztül találod meg az injekciós pontot
• Kereszthivatkozásokat, több oldalt is érintő támadásokat gyakorolsz

X-Frame-Options: A clickjacking elleni első védelmi vonal

A X-Frame-Options egy HTTP fejléc, amely megakadályozza, hogy az oldal iframe-ben betöltődjön, így megelőzve a clickjackinget. Az Academy-n megtanulod:

• Hogyan adjuk hozzá ezt a védelmet
• Mik a különbségek a DENY, SAMEORIGIN, és ALLOW-FROM között
• Miért NEM elég csak frontenden védekezni

Ez egy fontos AppSec alap, amit minden webfejlesztőnek ismernie kell.

Clickbait: Amikor a pszichológia is fegyver

A clickbait célja az érzelmi reakció kiváltása, amely a clickjackinggel párosítva rendkívül hatásos lehet. Például:

• „Kattints ide, hogy megmentsd a fiókod!”
• „Új frissítés érkezett – azonnal engedélyezd!”

Egy mini tanfolyam keretében az Academy bemutatja, hogyan használják ezt a támadók phishing kampányokban és social engineering technikákban.

Megtudható skillek a kurzus során

• Clickjacking támadás modellezése
• DOM manipuláció és XSS észlelés
• X-Frame-Options fejléc implementálása
• Visual attack detection
• HTML5 és JavaScript security best practices
• Secure UX & frontend védelem alapjai

Laborok működése: élő támadási szimuláció

Minden labor:

• Böngészőben fut
• Valós időben követi a próbálkozásaidat
• Interaktív: saját JavaScript és HTML kódot írsz
• Instant visszajelzést ad (siker / sikertelen támadás)

Miért érdemes elkezdeni ezt a tanfolyamot most?

• 2025-re a webes támadások 70%-a social engineering alapú lesz
• Clickjacking újra emelkedőben van mobilfelületeken
• A DOM XSS támadások automatizálása AI-val már létezik

Ha fejlesztő vagy, biztonsági mérnök vagy csak érdeklődsz az etikus hackelés iránt, ezek az ismeretek elengedhetetlenek.

Zárszó: Tanulás, amit a támadók is ismernek – Te is ismerd meg!

A PortSwigger Network Academy nemcsak egy oktatófelület – hanem egy valódi kibervédelmi tréningpálya, ahol a támadók gondolkodását ismerheted meg és tanulhatod meg kivédeni.

🎓 Kezd el itt: https://portswigger.net/web-security/clickjacking