skillup

技術ブログ

サーバー・ネットワーク

クリックジャッキング

投稿日:

クリックジャッキングとは?

悪意のあるサイトの特定上の場所をクリックさせ、誤操作をさせ、意図しない機能を実行させられる可能性があります。

このような問題をクリックジャッキングの脆弱性と呼び、これを悪用した攻撃をクリックジャッキング攻撃と呼びます。

被害

ログイン後の利用者のみが利用可能なサービスの悪用、意図しない設定情報の変更

対策

  • HTTPレスポンスヘッダにX-Frame-Optionsヘッダフィールドを出力し、他ドメインのサイトからのframe要素やiframe要素による読み込みを制限する
  • 処理を実行する直前のページで再度パスワードの入力を求め、実行ページでは再度入力させられたパスワードがあだしい場合のみ処理を実行する

http://www.techscore.com/blog/2015/03/05/%E3%82%AF%E3%83%AA%E3%83%83%E3%82%AF%E3%82%B8%E3%83%A3%E3%82%AE%E3%83%B3%E3%82%B0%E3%81%A3%E3%81%A6%EF%BC%9F/

-サーバー・ネットワーク
-

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

SQLインジェクション

セキュリティ関係の知識がぬるいのでちょっとお勉強。 知っていることもあるが復習もかねて勉強を。 Contents1 SQLインジェクションとは?2 被害3 対策4 参考サイト・書籍5 ソース SQLイ …

no image

ネットワークコマンド

ネットワークのコマンドはping以外ほとんど知らないんですけど、それ以外に最近少し覚えたネットワークコマンドなどについて。 適切な使い方などはまだようわかっとらんです・・・ Contents1 net …

no image

サーバー構築(ゼロからの準備編)

VPSのサーバーを入れるときにほぼ確実にインストールするパッケージなどを。 Contents0.1 update&言語表記0.2 基本ライブラリ0.3 sudoユーザーの設定0.4 apache0.5 …

no image

Webの高速化に関して

Webの高速化に関してメモ。 高速化って言っても幅広いんですけどね。自分が行なっている対策に関して。 一応LAMP環境を前提にしてます。 Contents1 一番大事なのは測定2 DB対策3 フロント …

no image

ansible host指定,変数の外だし,ユーザー追加

Ansibleにてhostユーザーやユーザーの追加などす。 Contents1 ホストの指定2 ユーザーの追加2.1 変数を別ファイルに2.2 パスワードのハッシュ化2.3 パスワードなしでsudo2 …