<h2 id="%EF%BC%91%EF%BC%8E%E3%82%AF%E3%83%AA%E3%83%83%E3%82%AF%E3%82%B8%E3%83%A3%E3%83%83%E3%82%AD%E3%83%B3%E3%83%B3%E3%82%B0%E3%81%A8%E3%81%AF" data-line="0" class="code-line">
<a class="header-anchor-link" href="#%EF%BC%91%EF%BC%8E%E3%82%AF%E3%83%AA%E3%83%83%E3%82%AF%E3%82%B8%E3%83%A3%E3%83%83%E3%82%AD%E3%83%B3%E3%83%B3%E3%82%B0%E3%81%A8%E3%81%AF" aria-hidden="true"></a> １．クリックジャッキンングとは</h2>
①. サイバー攻撃実行者は、以下の２つを用意します。 
　　・ユーザーから見える正規サイトのような画面（罠画面） 
　　　→　正規サイトのコンテンツを&lt;iframe&gt;で埋め込み、正規サイトを模倣した画面を作成　　 
　　・有害プログラムが起動するボタンを透明化し、罠画面上に設置 
②．罠画面に表示されているボタンをユーザーがクリックします。　 
③．罠画面のボタンをクリックしたはずが、実際には透明化されたボタンがクリックされ、有害プログラムが起動します。
<h2 id="%EF%BC%92%EF%BC%8E%E5%AE%9F%E9%9A%9B%E3%81%AB%E3%82%84%E3%81%A3%E3%81%A6%E3%81%BF%E3%81%9F" data-line="10" class="code-line">
<a class="header-anchor-link" href="#%EF%BC%92%EF%BC%8E%E5%AE%9F%E9%9A%9B%E3%81%AB%E3%82%84%E3%81%A3%E3%81%A6%E3%81%BF%E3%81%9F" aria-hidden="true"></a> ２．実際にやってみた</h2>
〇検証環境：bWAPP（VirtualBox上に環境構築）　 
〇使用ブラウザ：Microsoft Edge
〇手順１． 
<code>ClickJacking (Movie Tickets)</code> を選択します。 
<img src="https://storage.googleapis.com/zenn-user-upload/f6d8fd89c715-20240917.png" loading="lazy" class="md-img">
〇手順２． 
<code>[Confirm]</code> ボタンを押下すると、メッセージが表示されました。 
<img src="https://storage.googleapis.com/zenn-user-upload/6660c606fa9a-20240917.png" loading="lazy" class="md-img">
〇手順３． 
HINT: open the evil ClickJacking page in a new tab... の太字部分を押下します。 
押下後、新しい画面が立ち上がりました。 
<img src="https://storage.googleapis.com/zenn-user-upload/5f7873178ea1-20240917.png" loading="lazy" class="md-img">
〇手順４． 
<code>[Confirm]</code> ボタンを押下します。 
<code>[Confirm]</code> ボタン押下後、手順２で表示されたメッセージと同じ内容のメッセージが表示されました。 
<img src="https://storage.googleapis.com/zenn-user-upload/c53bbddd552c-20240918.png" loading="lazy" class="md-img">
〇手順５． 
デベロッパーツールを使用し、アイアンマンが表示されている画面のソースコードを解析します。 
罠画面に関係のあるソースコードが見つかりました。
<div class="code-block-container">
<div class="code-block-filename-container">ソースコード</div>
<pre><code class="code-line" data-line="36">&lt;iframe style="position:absolute; top:70px; left:0px; width:1000px; height:1000px;" src="../bWAPP/clickjacking.php" frameborder="0"&gt;&lt;/iframe&gt;
</code></pre>
</div><img src="https://storage.googleapis.com/zenn-user-upload/a25ffb9af4c1-20240918.png" loading="lazy" class="md-img"> 
重要：　 
・「映画の無料チケットはこちらをクリック」という魅力的なメッセージが掲載 
・<code>&lt;iframe&gt;</code> を使用している 
以上から、アイアンマンが表示された画面は罠サイトと判断できます。
<h2 id="%EF%BC%93.%E5%8F%82%E8%80%83" data-line="46" class="code-line">
<a class="header-anchor-link" href="#%EF%BC%93.%E5%8F%82%E8%80%83" aria-hidden="true"></a> ３.参考</h2>
・<a href="https://developer.mozilla.org/ja/docs/Web/HTML/Element/iframe" target="_blank" rel="nofollow noopener noreferrer">&lt;iframe&gt;: インラインフレーム要素</a> 
・<a href="https://www.demandosigno.study/entry/2023/07/25/161431" target="_blank" rel="nofollow noopener noreferrer">やられアプリ BadTodo - 13.1 クリックジャッキング</a>
<h2 id="%EF%BC%94%EF%BC%8E%E6%B3%A8%E6%84%8F" data-line="51" class="code-line">
<a class="header-anchor-link" href="#%EF%BC%94%EF%BC%8E%E6%B3%A8%E6%84%8F" aria-hidden="true"></a> ４．注意</h2>
この記事で紹介した内容は、独自に用意した検証用サイトに対して行いました。 
企業・団体等のサイトに対し攻撃すると、違法行為として処罰される可能性があります。

【セキュリティ】クリックジャッキングとは（備忘録）

１．クリックジャッキンングとは

初心者

Discussion