クリック・ジャッキングとは
罠ページの上に正規のウェブサイトを透明にして重ねることで、正規サイト上でユーザの意図しない操作を誘発する攻撃、それを実装されうる脆弱性のことを指す。
脆弱性の原理
罠サイトのフレーム内に正規サイトを表示できることが原因。
攻撃者がユーザに罠ページのリンクを踏ませることで、ユーザのブラウザ上に偽装された罠ページが表示される。
正規サイトが透明な状態でレイヤーされているため、ユーザは意図していなくても正規サイトは正規なリクエストとして処理を行ってしまい、被害につながる。
脆弱性が悪用された際の影響
主にユーザがログインしていないと利用できないサービスが攻撃の対象となる。
- ログイン後のユーザのみが利用可能なサービスの悪用
- ログイン後のユーザのみが編集可能な設定の変更
検査方法
検査ツールから X-Frame-Options を確認し、ORIGIN か DENY になっていない場合は脆弱性が疑われる。
対策方法
他のサイトでフレーム内にウェブページを表示させないようにすることが対策となる。
frame、iframe で表示させないように X-Frame-Options を ORIGIN か DENY に設定する。