【セキュリティ】クリックジャッキングとは（備忘録）

１．クリックジャッキンングとは

①. サイバー攻撃実行者は、以下の２つを用意します。
　　・ユーザーから見える正規サイトのような画面（罠画面）
　　　→　正規サイトのコンテンツを<iframe>で埋め込み、正規サイトを模倣した画面を作成　　
　　・有害プログラムが起動するボタンを透明化し、罠画面上に設置
②．罠画面に表示されているボタンをユーザーがクリックします。　
③．罠画面のボタンをクリックしたはずが、実際には透明化されたボタンがクリックされ、
　　有害プログラムが起動します。

２．実際にやってみた

〇検証環境：bWAPP（VirtualBox上に環境構築）　
〇使用ブラウザ：Microsoft Edge

〇手順１．
「ClickJacking (Movie Tickets)」を選択します。

〇手順２．
[Confirm]ボタンを押下すると、メッセージが表示されました。

〇手順３．
HINT: open the evil ClickJacking page in a new tab... の太字部分を押下します。
押下後、新しい画面が立ち上がりました。

〇手順４．
[Confirm]ボタンを押下します。
[Confirm]ボタン押下後（手順２）に表示されたメッセージと同じ内容のメッセージが表示されました。

〇手順５．
デベロッパーツールを使用し、アイアンマンが表示されている画面のソースコードを解析します。
罠画面に関係のあるソースコードが見つかりました。

<iframe style="position:absolute; top:70px; left:0px; width:1000px; height:1000px;" src="../bWAPP/clickjacking.php" frameborder="0"></iframe>

重要：　
・「映画の無料チケットはこちらをクリック」という魅力的なメッセージが掲載
・<iframe>を使用している
以上から、アイアンマンが表示された画面は罠サイトと判断できます。

３.参考

・<iframe>: インラインフレーム要素
・やられアプリ BadTodo - 13.1 クリックジャッキング

４．注意

この記事で紹介した内容は、独自に用意した検証用サイトに対して行いました。
企業・団体等のサイトに対し攻撃すると、違法行為として処罰される可能性があります。