脆弱性についてまとめてみるぼっちアドカレ9日目の記事です。
概要
クリックジャッキングとは攻撃者が用意したサイトの上に攻撃対象のWebサイトをiframeを用いて重ねた後透明度を100%にすることで意図しないサイトで意図しない操作を許してしまう脆弱性です。
悪用について
クリックジャッキングはSNSのいいねなどを押すのによく使われたみたいです。
高額商品の当選を受け取るためにボタンをクリックなどとして画面をクリックさせそこの上に透明化したSNSのいいねボタンを重ねて不正にいいねを増やすことがあったみたいです。
対策について
クリックジャッキングの対策はCSPヘッダーを設定することです。
Content Security Policyのframe-ancestorsを設定することiframeによる呼び出しを無効にするか同じオリジンのみに制限できます。
HackerOneレポート
Twitter Periscope Clickjacking Vulnerability
リンク: https://hackerone.com/reports/591432
これはPeriscopeという過去にTwitter社が運用していたLIVE配信サイトに存在してした脆弱性です。
レポート内ではiframeで表示できてしまっています。クリックジャッキングはすごく単純なので報奨金も低いことがほとんどですが$1,120ということでかなり高い部類じゃないですかね?
ヘッダーだけでほとんど対策できるものなのでTwitter社側でも見落としに萎えたんですかね?
Clickjacking on donation page
リンク: https://hackerone.com/reports/921709
このレポートではwordpressの寄付ページにクリックジャッキングがあることを報告しています。
今回もヘッダーだけで解決でき報奨金は非公開になっていますがそこまで出ていないと思います。
ただまぁ寄付ページなのがなんか面白いですね。寄付ならいいのかなって思っちゃったのかな?
最後に
クリックジャッキングはすごく簡単なのですがあまり個人的に解像度が高く認識できていなかったので実際の事例をまとめられて良かったです。geminiちゃんてきにはやっぱりSNSの拡散等でよく使われたみたいで確かにそれぐらいがちょうどいい感じなのかなって思いました。可能性としてはもちろん勝手にデータ削除したりはできるんでしょうけど限度がありそうですよね。
あと報奨金はどれもやっぱり低いですね。ヘッダーで解決できるだけあるんで自分のサイトでもきをつけたいなって思いました。