web-dev-qa-db-ja.com

添付ファイルのダウンロードのクリックジャッキングの脆弱性

システムの一部は、認証とファイルIDが正しい場合にクライアントにファイルを送信するHTTPファイルハンドラを公開し、正しくない場合は応答しません。

これがホストされているASP.netサーバーは、すべての応答にX-Frame-Optionsヘッダーを追加するように指示されており、標準ページに対しては忠実にこれを行います。何らかの理由で、このハンドラーではそうしません。

自動スキャンにより、これがクリックジャッキングの脆弱性であると識別されましたが、なぜこれが当てはまるのかを理解するのに苦労しています。ファイルはContent-Disposition: attachmentとして送信されるため、ブラウザに表示される代わりにダウンロードされます。たとえば、PDFコンテンツなどのオーバーレイで脆弱性を開く可能性があります。

これは脆弱性ではないということですか?それとも私が見落としたケースがありますか?もちろん、とにかくヘッダーを追加することもできますが、それが仕様に違反しているかどうかはわかりません。

2
Dan

私の評決

静的ページで有効または適切な脆弱性としてクリックジャッキングを行うことはできません。APIエンドポイントなどでない限り、添付ファイルのような静的ページでこれらのヘッダーを意図的にスキップしても、少なくとも害はありません。

専門的なアドバイス

地獄うんそれはあなたがあなたの会社のためにバグ報奨金プログラムに行くように助言され、自動スキャナーを実行することを勧められない唯一の理由であり、数千ドルの費用がかかるnetsparkerでさえない。後者のオプションを選択した場合は、誤検知の原因を理解するための基本的なスキルを習得し、これらのスキャナーの精度が手動のテスト手法よりもはるかに低いことを確認してください。

いいえ、脆弱性ではありません。その日の業界標準によるクリックジャッキングでは、攻撃者がユーザーを強制してユーザーのコンテキストで状態変更アクションを実行できるという観点からそれを悪用できる必要があります。 GoogleのBugHunter大学による、ユーザーアカウントに状態変更の影響を与える可能性のあるクリックジャッキングは、VRPにのみ適格であるとの事実を判断します。

厳密に言えば専門用語のような有効な攻撃シナリオは何ですか?

攻撃者がボタンの下にフレームを非表示にして、知らないユーザーがそのボタンをクリックすると、ユーザーがすべてのデータとアカウントを削除するとします。次に、はい、それは有効な攻撃ベクトルであり、私のような平均的なセキュリティエンジニアに対してP4優先度です。

さらに明確化

もう一度考えてみてください。攻撃者がフィッシングに使用したり、添付ファイルをフレームまたはiframeに埋め込んだりして、攻撃者のキーストロークを記録して、iframeに添付ファイルを埋め込むことはできますか?まあそれに対する簡単な答えはnoです。

さらに、あなたは私の記事を読むことができます https://dzone.com/articles/looking-at-some-practical-examples-of-security-bug 何千人もの開発者に配布されたDZone毎週のダイジェスト経由。編集チームが作成したタイプミスは無視してください。

1
A Khan

すべてのブラウザで表示されるのではなく、すべてのコンテンツタイプがダウンロードされることを100%確信しているわけではありません。したがって、ユーザーが制御するコンテンツがない場合、またはブラウザのバグと組み合わせない限り、実際にそれが有用であるか悪用できるかはわかりません。スキャナーやテスターに​​フラグを立てさせたくない場合は、コードを変更してヘッダーをコンテンツの配置と一緒に吐き出すことができます

0
wireghoul