1

私は iframe とクリックジャッキングに関して多くのことを読んできましたが、探している情報を見つけることができませんでした。以下の質問について教えていただけますか?

Iframe クリックジャッキングはどのように拡散するのですか? ローカル マシンでの html コードの編集について言及している記事をたくさん見てきましたが、同じように、非表示のボタンを追加することでユーザーのクリックを乗っ取ることができます。ただし、これはユーザーのローカル マシンで変更されたロジックです。この同じコードをクラウドにプッシュして、そのポータルにログインまたは使用しているすべてのユーザーに影響を与えることは可能ですか? はいの場合、どのように?

自分の Web サイトで Iframe オプションを有効にすると、自分のページが他の Web サイトに Iframe として読み込まれ、悪用される可能性があるため、セキュリティ上のリスクがあります。また、セキュリティで保護されたデータがある場合、エンド ユーザーがその Web サイトに誤ってアクセスすると、データがハッキングされます。これはセキュリティ上の問題であるため、常に Iframe を許可しないことをお勧めしますが、それでよろしいですか? その他のセキュリティ リスクはありますか。

他にリスクがあれば追記してください。

4

1 に答える 1

6

クリックジャッキングは広まりません。

それは文字通り、言われている通りです - ジャッキングクリック - それ以上のものはありません。ただし、これらのクリックの結果は深刻になる可能性があります。

というサイトにアクセスしたとしますevil.example.org。別のタブでは、銀行にもログインしていますbank.example.com

evil.example.orgbank.example.comIFrame にも読み込まれます。ただし、CSS を使用してこの IFrame を非表示にします。また、ホームページはロードせず、送金ページをロードし、いくつかのパラメーターを渡します。

<iframe src="https://bank.example.com/loggedIn/transferMoney?toAccount=Bob&amount=100000"></iframe>

現在、このページはすぐに送金しません。ユーザーは、ボブへの転送を確認するためにクリックするよう求められます。

ただし、ボタンのすぐ下にボタンevil.example.orgを描画します。Confirm TransferFree iPad click here

IFrame は非表示であるため、ユーザーには が表示されるだけFree iPad click hereです。しかし、ユーザーがクリックすると、ブラウザは に対してクリックを登録しますConfirm Transfer

あなたは別のタブで銀行のサイトにログインしているため、ボブはあなたのお金を使い果たしました。

またはX-Frame-Optionsに設定されていると仮定して、ヘッダーはサイトのこの脆弱性を修正することに注意してください。ヘッダーを追加するまで、脆弱です。CSP と呼ばれる新しいディレクティブがありますが、これをサポートしているのは最新のブラウザーのみであるため、現時点では両方のヘッダーを追加することをお勧めします。これにより、Internet Explorer 8 以降に加えて、Chrome、Firefox、Opera、Safari を保護できます。SAMEORIGINDENYframe ancestors

フレーミングを防止することは、クロス サイト履歴操作などの攻撃を阻止するのにも役立ちます。

于 2015-09-15T13:23:49.793 に答える