■ クリックジャッキング(Clickjacking)
* 悪意のあるサイト上でクリックした時に、別サイトの設定情報を変更させる
具体的には...
1) 攻撃者のページは、iframeなどで他のページを表示 2) そのページに重ねて悪意のあるボタンをそのページと同じ配置で設置します。 3) そして設置した悪意のあるボタンをcssで透明にします。 4) ユーザーは上に重なっている透明のボタンを気付かずにクリックしてしまいます。
対策
[1] X-Frame-Options を付加する [ヘッダ値](極力、DENYにすればいいかと) * DENY:フレーム内のページ表示を全ドメインで禁止 * SAMEORIGIN:フレーム内のページ表示を同一ドメイン内のみ許可 * ALLOW-FROM uri:フレーム内のページ表示を指定されたドメインに限り許可
参考文献
http://www.techscore.com/blog/2015/03/05/%E3%82%AF%E3%83%AA%E3%83%83%E3%82%AF%E3%82%B8%E3%83%A3%E3%82%AE%E3%83%B3%E3%82%B0%E3%81%A3%E3%81%A6%EF%BC%9F/http://www.techscore.com/blog/2015/03/05/%E3%82%AF%E3%83%AA%E3%83%83%E3%82%AF%E3%82%B8%E3%83%A3%E3%82%AE%E3%83%B3%E3%82%B0%E3%81%A3%E3%81%A6%EF%BC%9F/
http://qiita.com/tomochan154/items/a93c56536c78d1faff0f
IPA
https://www.ipa.go.jp/files/000026479.pdf
■ iframeインジェクション
* WebサーバをSQLインジェクションなどの手段で乗っ取り、 HTMLファイルの中に iflameのソースコードを埋め込み(インジェクション)攻撃する手法 # クリックジャッキング と似ている?
参考文献
http://isadmin.j-its.jp/useseen/iframeinj.htmlhttp://www.securebrain.co.jp/about/news/2011/08/new-injection-attack.html
