Multistep clickjacking
概要
クリックジャッキング脆弱性を利用して、アカウントを削除するためにダイアログが挟まれるサイトを攻撃する手法
攻撃手順
- 正規サイトのアカウントを削除するまでの手順を調査
- 特に削除するためのボタンの位置関係を確認
- 偽ボタンの位置調整
対策
- x-frame-optionsに、DENY又はSAMEORIGINを設定する
- Content Security Policyに、frame-ancestorsディレクティブを設定する
- 設定値をnoneにすることで、全てのドメインからのフレーム埋め込みを防止できる
- 設定値を特定のドメインにすることで、指定したドメインからのみのフレーム埋め込みを許可できる
- 設定値をselfにすることで、自身と同一のドメインからのみのフレーム埋め込みを許可できる