web-dev-qa-db-ja.com

Xフレームオプションの可能性の説明のバイパス

これは私が作成した別の投稿と関係があります: その他の投稿

これをさらに調査していると、次のブログポストが見つかりました: blog elev

私が理解しているように、この男はWebサイトのすべてのコンテンツを読み取り、それを彼のiframeに表示します。このようにして、x-frame-optionsは回避され、サイトを表示できます。彼はこの機能を使用して何かをテストします。

これは、これのセキュリティへの影響について考えて出会いました。

次のシナリオを検討してください。

  • ログインページのあるサイトで、クリックジャッキング攻撃に対して脆弱になりたくないので、x-frame-optionsをSAMEORIGINに設定しました。
  • 攻撃者はブログ投稿のようにサイトを作成し、ブログ投稿で報告されたように、サイトのすべてのコンテンツをiframeに配置します。次に、その上に非表示のiframeを配置し、ユーザーがログインフォームに入力するものを収集するために使用します。
  • 次に、攻撃者はユーザーをだまして、私のようなURL(mys1te.comなど)を持つサイトへのリンクをクリックさせます。
  • ユーザーは自分のサイトだと思ってログインする
  • 攻撃者はユーザーの資格情報を持っています

これはクリックジャッキング攻撃ではないですか?そうでない場合は、x-frame-optionsをバイパスする方法ですか?そして、もしそうなら、クリックジャッキングが不可能であることを100%確実にするために何が使用できますか?

私はこの物語の穴を見つけようとしています。

2
Wealot

私が理解しているように、この男はWebサイトのすべてのコンテンツを読み取り、それを彼のiframeに表示します。

彼は文字通りサイトのコンテンツをダウンロードし、自分のページに印刷します。これは、彼が後でダウンロードしたコンテンツが彼自身のドメインに属していることを意味します。

しかし、クリックジャッキング攻撃の全体的な考え方は、フレームに異なる Originからサイトを埋め込むことです。たとえば、単純なクリックジャッキング攻撃はhttps://facebook.com/私のサイトの非表示のフレームにフレームを配置しました。私のサイトのどこかをクリックすると、実際にはフレームの内側をクリックし、たとえば、Facebookの投稿の1つが思わず好きになるようにフレームを配置しています。明らかに、FacebookはX-Frame-Options: DENYヘッダー。

ただし、ブログ投稿のように続行し、Facebookページを自分のドメインにダウンロードして自分のフレームに埋め込んだ場合、ダウンロードしたページのコピーをクリックしても実際のアクションはトリガーされないため、それは無意味です。 Facebookサイト。

  • 次に、攻撃者はユーザーをだまして、私のようなURL(mys1te.comなど)を持つサイトへのリンクをクリックさせます。
  • ユーザーは自分のサイトだと思ってログインする

あなたが説明することは、フィッシング攻撃のように聞こえます。別のページのコンテンツをコピーして、オリジナルのように見せることは常に可能です。

3
Arminius