The Clickjacking attack, X-Frame-Options

2014. 12. 16

Version : 1.0.0

made by 정보배 R&D Team

2

CONTENTS.

1. Clickjacking ……………… 3

2. Clickjacking 원리 ……………… 5

3. Clickjacking Demo ……………… 9

4. X-Frame-Options ……………… 10

5. Reference ……………… 11

3

1. Clickjacking 눈 뜨고 당하는 Clickjacking

Click Clickjacking Hijacking

웹 브라우저에서 사용자의 click을 훔쳐 엉뚱한 곳을 click하게 만드는 해킹방법

2008년 Robert Hansen와 Jeremiah Grossman이 발표

마우스 click과 hijacking의 합성어

4

1. Clickjacking 눈 뜨고 당하는 Clickjacking

5

2. Clickjacking 원리 javascript 레이어 구성

자유로운 레이어 구성

Layer 1

Layer 2

Layer 3 Layer 4

6

2. Clickjacking 원리 javascript 레이어 구성

진짜 페이지 www.google.com 가짜 페이지

악성 URL

진짜 페이지 www.google.com 가짜 페이지

악성 URL

진짜 페이지 www.google.com

opacity : 100 opacity : 100 opacity : 100

www.google.com클릭 시 악성 url로 이동

7

2. Clickjacking 원리 XXS(Cross-site-scripting)

XXS(Cross-Site-Scripting)

웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점

해커가 삽입한 스크립트를 핑터링하지 않고 사용할 경우 발생

8

2. Clickjacking 원리

사용자가 원하는 화면

Clickjacking 동작원리

악성 Frame

9

3. Clickjacking Demo

10

4. X-Frame-Options HTML 확장 해더

DENY

해당 페이지는 iframe 내에서 불러올 수 없다.

SAMEORIGN

해당 페이지와 동일한 도메인 페이지 안에서는 frame이나 iframe으로 불러올 수 있다.

ALLOW-FROM url

해당 페이지는 지정된 url 페이지에서 frame으로 불러올 수 있다.

11

5. Reference

http://javascript.info/tutorial/clickjacking

http://cafe.naver.com/secuholic/1308.

http://cafe.naver.com/secuholic/1308

http://jumpzero.tistory.com/20

http://blog.naver.com/blogpyh/220131721590

http://www.yunsobi.com/blog/612

…

12