반응형
[클릭 재킹(Click jacking) 개념]
사용자가 인식하지 못하게 웹페이지의 특정 요소를 조작하도록 유도하는 공격 방식이다.
페이지를 iframe으로 투명하게 불러와놓고 버튼이나 링크(계정탈퇴, 계좌이체)를 이름을 바꿔서("클릭하세요"와 같은 모양새) 클릭하도록 사용자를 유도하는 Client-Side 공격이다.
OWASP Top-10 취약점의 4위에 해당하는 Insecure Design(안전하지 않은 설계)에 해당하는 취약점이다.
[대응방안]
X-Frame-Options 보안 헤더를 DENY 또는 SAMEORGIN으로 설정
content-security-policy를 none 또는 self로 설정
Framing buster scripts 작성
위 URL에 스크립트 예시들이 나와있다. X-Frame-Options-Header을 지원하지 않는경우 위와 같이 스크립트로 작성해서 웹 페이지가 프레이밍되는것을 방지.
SameSite 쿠키를 사용해서 프레이밍 자체가 아닌 클릭재킹의 영향을 방지가능 strict, lax 속성을 설정했는지 확인.-> iframe 내에 로드된 경우 쿠키가 웹 애플리케이션으로 전송되지 않음. 주의: 애플리케이션에서 인증 없이 영향력있는 요청을 보낼 수 있도록 허용하는 경우 이 방법은 추가 보안을 제공하지 않음
-> 나중에 정리
[클릭 재킹(Click jacking) 실습]
나중에 올리겠음
[참고]
반응형
'보안' 카테고리의 다른 글
| 제로 트러스트란? (1) | 2023.12.07 |
|---|---|
| 정보보안기사 필기 및 실기 합격 후기 및 공부법에 대하여.. (3) | 2023.10.09 |
| XST(Cross Site Tracing)란? (0) | 2023.09.04 |
