今回はこちら

https://hackerone.com/reports/765355

タイトルは

Modify account details by exploiting clickjacking vulnerability on refer.wordpress.com

クリックジャッキングに関する脆弱性のようです。

認証ページまわりのクリックジャッキングということで、危険度が高いと指摘しています。

再現方法は

1.以下のソースからなるファイルをローカルに作成

<html> <title>Clickjacking</title> <body> <iframe src="https://refer.wordpress.com/affiliate-network/campaign-settings/"></iframe> </body> </html>

2.作成されたページを閲覧すると、ローカルファイル上にwordpressのリンク先が表示されてしまっている

こらにより、任意の作成されたページ上でwordpressの設定画面を表示させ、入力結果を搾取できてしまう

そもそもクリックジャッキングとは、

たとえば通常のリンクの上に見えないリンクを貼ることで、ユーザーの意図しないページへアクセスさせてしまう脆弱性です。

今回の場合は、iframeを使用することで偽ページ全体にwordpressのページを表示させることができてしまっていることが問題です。

通常のサイト上の特定のボタンと、偽ページのボタンを同じ場所に設定すれば、クリックしてしまいますね…。

更新系のページは気を付けなければ…。

参考

https://qiita.com/mejileben/items/39d897757d5c3a904721

対策として、

X-Frame-Optionsヘッダに、「SAMEORIGIN」もしくは「DENY」を設定すればいいようです。

ちなみに、こちらの件は75ドルでした。

以上。