ソース:
脆弱性:クリックジャッキング
訳:
見つけた方法:
OWASP ZAP に目を向けると、X-Frame-Options ヘッダーが欠落しており、クリックジャッキングの脆弱性の可能性を示す興味深いアラートを見つけました。
重大度の高いバグとは思えないかもしれませんが、特に Instagram などのプラットフォームでは重大なリスクを引き起こす可能性があります。
クリックジャッキングを理解する:
影響を把握するには、脆弱な Web サイトで単純な iframe コードを使用して、そのコンテンツを他の場所に表示できることを想像してください。
このコードをコピーして貼り付けます。
```html
<iframe src="https://example.com" frameborder="0" width="500" height="600"></iframe>
```
Web サイトに X-Frame-Options ヘッダーがない場合、サイトのコンテンツが他の場所で目撃され、不正なアクションが発生する可能性があります。
脆弱性の悪用:
しかし、ここからが興味深いところです。
iframe コードを微調整して不透明度を調整すると、クリックジャッキングをほとんど見えなくすることができます。 例えば:
```html
<iframe src="https://cfr.org/member/login" Frameborder="0" width="500" height="600" style="opacity:0.05"></iframe>
```
ほなほな。
