Upload
dgmit2009
View
136
Download
1
Embed Size (px)
Citation preview
The Clickjacking attack, X-Frame-Options
2014. 12. 16
Version : 1.0.0
made by 정보배 R&D Team
2
CONTENTS.
1. Clickjacking ……………… 3
2. Clickjacking 원리 ……………… 5
3. Clickjacking Demo ……………… 9
4. X-Frame-Options ……………… 10
5. Reference ……………… 11
3
1. Clickjacking 눈 뜨고 당하는 Clickjacking
Click Clickjacking Hijacking
웹 브라우저에서 사용자의 click을 훔쳐 엉뚱한 곳을 click하게 만드는 해킹방법
2008년 Robert Hansen와 Jeremiah Grossman이 발표
마우스 click과 hijacking의 합성어
4
1. Clickjacking 눈 뜨고 당하는 Clickjacking
5
2. Clickjacking 원리 javascript 레이어 구성
자유로운 레이어 구성
Layer 1
Layer 2
Layer 3 Layer 4
6
2. Clickjacking 원리 javascript 레이어 구성
진짜 페이지 www.google.com 가짜 페이지
악성 URL
진짜 페이지 www.google.com 가짜 페이지
악성 URL
진짜 페이지 www.google.com
opacity : 100 opacity : 100 opacity : 100
www.google.com클릭 시 악성 url로 이동
7
2. Clickjacking 원리 XXS(Cross-site-scripting)
XXS(Cross-Site-Scripting)
웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점
해커가 삽입한 스크립트를 핑터링하지 않고 사용할 경우 발생
8
2. Clickjacking 원리
사용자가 원하는 화면
Clickjacking 동작원리
악성 Frame
9
3. Clickjacking Demo
10
4. X-Frame-Options HTML 확장 해더
DENY
해당 페이지는 iframe 내에서 불러올 수 없다.
SAMEORIGN
해당 페이지와 동일한 도메인 페이지 안에서는 frame이나 iframe으로 불러올 수 있다.
ALLOW-FROM url
해당 페이지는 지정된 url 페이지에서 frame으로 불러올 수 있다.
11
5. Reference
http://javascript.info/tutorial/clickjacking
http://cafe.naver.com/secuholic/1308.
http://cafe.naver.com/secuholic/1308
http://jumpzero.tistory.com/20
http://blog.naver.com/blogpyh/220131721590
http://www.yunsobi.com/blog/612
…
12