HackerOneのレポート読む⑥
今回はこちら
https://hackerone.com/reports/765355
タイトルは
Modify account details by exploiting clickjacking vulnerability on refer.wordpress.com
クリックジャッキングに関する脆弱性のようです。
認証ページまわりのクリックジャッキングということで、危険度が高いと指摘しています。
再現方法は
1.以下のソースからなるファイルをローカルに作成
<html> <title>Clickjacking</title> <body> <iframe src="https://refer.wordpress.com/affiliate-network/campaign-settings/"></iframe> </body> </html>
2.作成されたページを閲覧すると、ローカルファイル上にwordpressのリンク先が表示されてしまっている
こらにより、任意の作成されたページ上でwordpressの設定画面を表示させ、入力結果を搾取できてしまう
そもそもクリックジャッキングとは、
たとえば通常のリンクの上に見えないリンクを貼ることで、ユーザーの意図しないページへアクセスさせてしまう脆弱性です。
今回の場合は、iframeを使用することで偽ページ全体にwordpressのページを表示させることができてしまっていることが問題です。
通常のサイト上の特定のボタンと、偽ページのボタンを同じ場所に設定すれば、クリックしてしまいますね…。
更新系のページは気を付けなければ…。
参考
https://qiita.com/mejileben/items/39d897757d5c3a904721
対策として、
X-Frame-Optionsヘッダに、「SAMEORIGIN」もしくは「DENY」を設定すればいいようです。
ちなみに、こちらの件は75ドルでした。
以上。