Hacker101 ~Clickjacking
色々見てきた続きです。
今回はこちらー!
- Introduction
- The Web In Depth
- XSS and Authorization
- SQL Injection and Friends
- Session Fixation
- Clickjacking <-今日はこれ
- File Inclusion Bugs
- File Upload Bugs
- Null Termination Bugs
- Unchecked Redirects
- Password Storage
- Crypto series
- Threat Modeling
- Writing Good Reports
- Burp Suite series
- Secure Architecture Review
- Server-Side Request Forgery
- Source Code Review
- XML External Entities
- Cookie Tampering Techniques
- Mobile App Hacking series
- Native Code Crash Course
◇何?
・I-FrameおよびCSSをいじくることで、意図しないボタンをクリックさせようとする
例)動画再生しようとクリックしたらFacebookのいいねを押していた、など
この場合、Facebookのページが非表示になっており、フェイクの動画再生ページが上に重ねられている状態になる
◇さらに
色々な形で攻撃の派生があるが、
例えばマウスカーソルを距離を置いて偽装することで、安全なボタンをクリックしたつもりが安全でないボタンをクリックしてしまう。。。というような手口もあるとか
クリックジャッキングは、よほど重要な認証、重要な操作ページでない限り、それ単体でレポートとして報告対象外となることがほとんど
◇対策
X-Frame-Optionを使う(DENY or SAMEORIGIN)
以上