【セキュリティ】クリックジャッキングとは(備忘録)
1.クリックジャッキンングとは
①. サイバー攻撃実行者は、以下の2つを用意します。
・ユーザーから見える正規サイトのような画面(罠画面)
→ 正規サイトのコンテンツを<iframe>で埋め込み、正規サイトを模倣した画面を作成
・有害プログラムが起動するボタンを透明化し、罠画面上に設置
②.罠画面に表示されているボタンをユーザーがクリックします。
③.罠画面のボタンをクリックしたはずが、実際には透明化されたボタンがクリックされ、
有害プログラムが起動します。
2.実際にやってみた
〇検証環境:bWAPP(VirtualBox上に環境構築)
〇使用ブラウザ:Microsoft Edge
〇手順1.
「ClickJacking (Movie Tickets)」を選択します。
〇手順2.
[Confirm]ボタンを押下すると、メッセージが表示されました。
〇手順3.
HINT: open the evil ClickJacking page in a new tab... の太字部分を押下します。
押下後、新しい画面が立ち上がりました。
〇手順4.
[Confirm]ボタンを押下します。
[Confirm]ボタン押下後(手順2)に表示されたメッセージと同じ内容のメッセージが表示されました。
〇手順5.
デベロッパーツールを使用し、アイアンマンが表示されている画面のソースコードを解析します。
罠画面に関係のあるソースコードが見つかりました。
<iframe style="position:absolute; top:70px; left:0px; width:1000px; height:1000px;" src="../bWAPP/clickjacking.php" frameborder="0"></iframe>
重要:
・「映画の無料チケットはこちらをクリック」という魅力的なメッセージが掲載
・<iframe>を使用している
以上から、アイアンマンが表示された画面は罠サイトと判断できます。
3.参考
・<iframe>: インラインフレーム要素
・やられアプリ BadTodo - 13.1 クリックジャッキング
4.注意
この記事で紹介した内容は、独自に用意した検証用サイトに対して行いました。
企業・団体等のサイトに対し攻撃すると、違法行為として処罰される可能性があります。
Discussion