Translated ['src/pentesting-web/clickjacking.md'] to sr

src/pentesting-web/clickjacking.md

@@ -15,7 +15,7 @@ Ponekad je moguće **popuniti vrednost polja obrasca koristeći GET parametre pr
 Ako treba da korisnik **popuni obrazac** ali ne želiš da ga direktno pitaš da unese neke specifične informacije (kao što su email ili specifična lozinka koju znaš), možeš ga jednostavno zamoliti da **Drag\&Drop** nešto što će uneti tvoje kontrolisane podatke kao u [**ovom primeru**](https://lutfumertceylan.com.tr/posts/clickjacking-acc-takeover-drag-drop/).
 
 ### Osnovni Payload
-```markup
+```css
 <style>
 iframe {
 position:relative;
@@ -35,7 +35,7 @@ z-index: 1;
 <iframe src="https://vulnerable.com/email?email=asd@asd.asd"></iframe>
 ```
 ### Multistep Payload
-```markup
+```css
 <style>
 iframe {
 position:relative;
@@ -59,7 +59,7 @@ left:210px;
 <iframe src="https://vulnerable.net/account"></iframe>
 ```
 ### Drag\&Drop + Click payload
-```markup
+```css
 <html>
 <head>
 <style>
@@ -92,9 +92,18 @@ background: #F00;
 Ako ste identifikovali **XSS napad koji zahteva da korisnik klikne** na neki element da bi **pokrenuo** XSS i stranica je **ranjiva na clickjacking**, mogli biste to iskoristiti da prevarite korisnika da klikne na dugme/link.\
 Primer:\
 Pronašli ste **self XSS** u nekim privatnim podacima naloga (podaci koje **samo vi možete postaviti i čitati**). Stranica sa **formom** za postavljanje ovih podataka je **ranjiva** na **Clickjacking** i možete **prepopuniti** **formu** sa GET parametrima.\
-Napadač bi mogao pripremiti **Clickjacking** napad na tu stranicu **prepopunjavajući** **formu** sa **XSS payload** i **varajući** **korisnika** da **pošalje** formu. Tako, **kada se forma pošalje** i vrednosti se promene, **korisnik će izvršiti XSS**.
+Napadač bi mogao pripremiti **Clickjacking** napad na tu stranicu **prepopunjavajući** **formu** sa **XSS payload-om** i **prevariti** **korisnika** da **pošalje** formu. Tako, **kada se forma pošalje** i vrednosti su izmenjene, **korisnik će izvršiti XSS**.
 
-## Strategije za ublažavanje Clickjacking
+### DoubleClickjacking
+
+Prvo [objašnjeno u ovom postu](https://securityaffairs.com/172572/hacking/doubleclickjacking-clickjacking-on-major-websites.html), ova tehnika bi tražila od žrtve da dvaput klikne na dugme na prilagođenoj stranici postavljenoj na specifičnoj lokaciji, i koristi razlike u vremenu između mousedown i onclick događaja da učita stranicu žrtve tokom dvostrukog klika tako da **žrtva zapravo klikne na legitimno dugme na stranici žrtve**.
+
+Primer se može videti u ovom videu: [https://www.youtube.com/watch?v=4rGvRRMrD18](https://www.youtube.com/watch?v=4rGvRRMrD18)
+
+> [!WARNING]
+> Ova tehnika omogućava prevaru korisnika da klikne na 1 mesto na stranici žrtve zaobilaženjem svake zaštite protiv clickjacking-a. Tako da napadač treba da pronađe **osetljive akcije koje se mogu izvršiti sa samo 1 klikom, kao što su OAuth prompte za prihvatanje dozvola**.
+
+## Strategije za ublažavanje Clickjacking-a
 
 ### Klijentske odbrane
 
@@ -108,7 +117,7 @@ Skripte koje se izvršavaju na klijentskoj strani mogu preduzeti akcije da spre
 Međutim, ovi skripti za razbijanje okvira mogu biti zaobiđeni:
 
 - **Bezbednosne postavke pregledača:** Neki pregledači mogu blokirati ove skripte na osnovu svojih bezbednosnih postavki ili nedostatka podrške za JavaScript.
-- **HTML5 iframe `sandbox` atribut:** Napadač može neutralisati skripte za razbijanje okvira postavljanjem `sandbox` atributa sa `allow-forms` ili `allow-scripts` vrednostima bez `allow-top-navigation`. Ovo sprečava iframe da verifikuje da li je on gornji prozor, npr.,
+- **HTML5 iframe `sandbox` atribut:** Napadač može neutralisati skripte za razbijanje okvira postavljanjem `sandbox` atributa sa `allow-forms` ili `allow-scripts` vrednostima bez `allow-top-navigation`. Ovo sprečava iframe da proveri da li je on gornji prozor, npr.,
 ```html
 <iframe
 id="victim_website"