🚹

【セキュリティ】クリックジャッキングとは(備忘録)

2024/09/22に公開

1.クリックジャッキンングとは

①. サイバー攻撃実行者は、以下の2つを用意します。
  ・ユーザーから見える正規サイトのような画面(罠画面)
   → 正規サイトのコンテンツを<iframe>で埋め込み、正規サイトを模倣した画面を作成  
  ・有害プログラムが起動するボタンを透明化し、罠画面上に設置
②.罠画面に表示されているボタンをユーザーがクリックします。 
③.罠画面のボタンをクリックしたはずが、実際には透明化されたボタンがクリックされ、
  有害プログラムが起動します。

2.実際にやってみた

〇検証環境:bWAPP(VirtualBox上に環境構築) 
〇使用ブラウザ:Microsoft Edge

〇手順1.
「ClickJacking (Movie Tickets)」を選択します。

〇手順2.
[Confirm]ボタンを押下すると、メッセージが表示されました。

〇手順3.
HINT: open the evil ClickJacking page in a new tab... の太字部分を押下します。
押下後、新しい画面が立ち上がりました。

〇手順4.
[Confirm]ボタンを押下します。
[Confirm]ボタン押下後(手順2)に表示されたメッセージと同じ内容のメッセージが表示されました。

〇手順5.
デベロッパーツールを使用し、アイアンマンが表示されている画面のソースコードを解析します。
罠画面に関係のあるソースコードが見つかりました。

ソースコード
<iframe style="position:absolute; top:70px; left:0px; width:1000px; height:1000px;" src="../bWAPP/clickjacking.php" frameborder="0"></iframe>


重要: 
・「映画の無料チケットはこちらをクリック」という魅力的なメッセージが掲載
・<iframe>を使用している
以上から、アイアンマンが表示された画面は罠サイトと判断できます。

3.その他

〇参考
<iframe>: インラインフレーム要素
やられアプリ BadTodo - 13.1 クリックジャッキング

4.注意

この記事で紹介した内容は、独自に用意した検証用サイトに対して行いました。
企業・団体等のサイトに対し攻撃すると、違法行為として処罰される可能性があります。

Discussion