色々見てきた続きです。

syachineko.hatenablog.com

今回はこちらー！

• Introduction
• The Web In Depth
• XSS and Authorization
• JavaScript for Hackers New!
• SQL Injection and Friends
• Session Fixation
• Clickjacking <-今日はこれ
• File Inclusion Bugs
• File Upload Bugs
• Null Termination Bugs
• Unchecked Redirects
• Password Storage
• Crypto series
  • Crypto Crash Course
  • Crypto Attacks
  • Crypto Wrap-Up
• Threat Modeling
• Writing Good Reports
• Burp Suite series
  • Getting Started
  • Maximizing Burp
  • Burp Hacks for Bounty Hunters
• Secure Architecture Review
• Server-Side Request Forgery
• Source Code Review
• XML External Entities
• Cookie Tampering Techniques
• Mobile App Hacking series
  • Mobile Hacking Crash Course
  • Android Quickstart
  • Common Android Bugs New!
  • iOS Quickstart
• Native Code Crash Course

• Clickjacking

◇何？

　・I-FrameおよびCSSをいじくることで、意図しないボタンをクリックさせようとする

　　例）動画再生しようとクリックしたらFacebookのいいねを押していた、など

　　この場合、Facebookのページが非表示になっており、フェイクの動画再生ページが上に重ねられている状態になる

◇さらに

　　色々な形で攻撃の派生があるが、

　　例えばマウスカーソルを距離を置いて偽装することで、安全なボタンをクリックしたつもりが安全でないボタンをクリックしてしまう。。。というような手口もあるとか

　　クリックジャッキングは、よほど重要な認証、重要な操作ページでない限り、それ単体でレポートとして報告対象外となることがほとんど

◇対策

　　　X-Frame-Optionを使う（DENY or SAMEORIGIN）

以上