Clickjacking
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
クリックジャッキング攻撃では、ユーザーが見えないか、別の要素に偽装された要素をウェブページ上でクリックするように騙されます。この操作は、マルウェアのダウンロード、悪意のあるウェブページへのリダイレクト、資格情報や機密情報の提供、金銭の移動、または製品のオンライン購入など、ユーザーにとって意図しない結果を引き起こす可能性があります。
時には、ページを読み込む際にGETパラメータを使用してフォームのフィールドの値を埋めることが可能です。攻撃者はこの動作を悪用して、任意のデータでフォームを埋め、ユーザーが送信ボタンを押すようにクリックジャッキングペイロードを送信することができます。
ユーザーにフォームを埋めてもらいたいが、特定の情報(メールアドレスや知っている特定のパスワードなど)を直接書くように頼みたくない場合、ユーザーにDrag&Dropしてもらうように頼むことができます。これにより、あなたが制御するデータが書き込まれます。これはこの例のように行えます。
もしあなたがユーザーがクリックする必要があるXSS攻撃を特定し、そのページがクリックジャッキングに脆弱であれば、ユーザーをボタン/リンクをクリックさせるためにそれを悪用することができます。 例: &#xNAN;Yあなたはアカウントのいくつかのプライベートな詳細に自己XSSを見つけました(あなたのみが設定および読み取ることができる詳細)。これらの詳細を設定するためのフォームがクリックジャッキングに脆弱であり、GETパラメータでフォームを事前入力することができます。 __攻撃者は、そのページに対してクリックジャッキング攻撃を準備し、XSSペイロードでフォームを事前入力し、ユーザーをフォームを送信させるように騙すことができます。したがって、フォームが送信されると、値が変更され、ユーザーはXSSを実行します。
クライアントサイドで実行されるスクリプトは、クリックジャッキングを防ぐためのアクションを実行できます:
アプリケーションウィンドウがメインまたはトップウィンドウであることを確認する。
すべてのフレームを表示可能にする。
見えないフレームへのクリックを防ぐ。
潜在的なクリックジャッキングの試みを検出し、ユーザーに警告する。
しかし、これらのフレームバスティングスクリプトは回避される可能性があります:
ブラウザのセキュリティ設定: 一部のブラウザは、セキュリティ設定やJavaScriptサポートの欠如に基づいてこれらのスクリプトをブロックする場合があります。
HTML5 iframe sandbox
属性: 攻撃者は、allow-top-navigation
なしでallow-forms
またはallow-scripts
の値を持つsandbox
属性を設定することでフレームバスタースクリプトを無効化できます。これにより、iframeは自分がトップウィンドウであるかどうかを確認できなくなります。
The allow-forms
と allow-scripts
の値は、iframe内でのアクションを有効にし、トップレベルのナビゲーションを無効にします。ターゲットサイトの意図した機能を確保するために、攻撃の種類に応じて allow-same-origin
や allow-modals
などの追加の権限が必要になる場合があります。ブラウザのコンソールメッセージは、どの権限を許可するかの指針となります。
X-Frame-Options
HTTPレスポンスヘッダーは、ブラウザにページを <frame>
または <iframe>
でレンダリングする正当性について通知し、Clickjackingを防ぐのに役立ちます:
X-Frame-Options: deny
- どのドメインもコンテンツをフレーム化できません。
X-Frame-Options: sameorigin
- 現在のサイトのみがコンテンツをフレーム化できます。
X-Frame-Options: allow-from https://trusted.com
- 指定された 'uri' のみがページをフレーム化できます。
制限に注意してください:ブラウザがこのディレクティブをサポートしていない場合、機能しない可能性があります。一部のブラウザはCSPのframe-ancestorsディレクティブを優先します。
CSPのframe-ancestors
ディレクティブは、Clickjacking保護のための推奨方法です:
frame-ancestors 'none'
- X-Frame-Options: deny
と同様です。
frame-ancestors 'self'
- X-Frame-Options: sameorigin
と同様です。
frame-ancestors trusted.com
- X-Frame-Options: allow-from
と同様です。
例えば、以下のCSPは同じドメインからのフレーミングのみを許可します:
Content-Security-Policy: frame-ancestors 'self';
さらなる詳細や複雑な例は、frame-ancestors CSPドキュメントやMozillaのCSP frame-ancestorsドキュメントで確認できます。
child-src
および frame-src
**コンテンツセキュリティポリシー (CSP)**は、ブラウザがコンテンツを読み込むことを許可すべきソースを指定することによって、Clickjackingやその他のコードインジェクション攻撃を防ぐためのセキュリティ対策です。
frame-src
ディレクティブフレームの有効なソースを定義します。
default-src
ディレクティブよりも具体的です。
このポリシーは、同じオリジン(self)および https://trusted-website.com からのフレームを許可します。
child-src
ディレクティブウェブワーカーとフレームの有効なソースを設定するためにCSPレベル2で導入されました。
frame-srcおよびworker-srcのフォールバックとして機能します。
このポリシーは、同じオリジン(self)および https://trusted-website.com からのフレームとワーカーを許可します。
使用上の注意:
非推奨: child-src は frame-src と worker-src に置き換えられています。
フォールバック動作: frame-src が存在しない場合、child-src がフレームのフォールバックとして使用されます。両方が存在しない場合は、default-src が使用されます。
厳格なソース定義: 悪用を防ぐために、指示に信頼できるソースのみを含めてください。
完全に確実ではありませんが、JavaScript ベースのフレームバスティングスクリプトを使用して、ウェブページがフレーム化されるのを防ぐことができます。例:
トークン検証: ウェブアプリケーションでanti-CSRFトークンを使用して、状態を変更するリクエストがユーザーによって意図的に行われていることを確認し、Clickjackedページを通じて行われていないことを保証します。
Trickestを使用して、世界で最も高度なコミュニティツールによって駆動されるワークフローを簡単に構築し、自動化します。 今すぐアクセスを取得:
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)