skillup

技術ブログ

サーバー・ネットワーク

クリックジャッキング

投稿日:2017年2月8日 更新日:

クリックジャッキングとは?

悪意のあるサイトの特定上の場所をクリックさせ、誤操作をさせ、意図しない機能を実行させられる可能性があります。

このような問題をクリックジャッキングの脆弱性と呼び、これを悪用した攻撃をクリックジャッキング攻撃と呼びます。

被害

ログイン後の利用者のみが利用可能なサービスの悪用、意図しない設定情報の変更

対策

  • HTTPレスポンスヘッダにX-Frame-Optionsヘッダフィールドを出力し、他ドメインのサイトからのframe要素やiframe要素による読み込みを制限する
  • 処理を実行する直前のページで再度パスワードの入力を求め、実行ページでは再度入力させられたパスワードがあだしい場合のみ処理を実行する

クリックジャッキングって?

-サーバー・ネットワーク
-

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

zabbixオリジナルアイテム&トリガー

zabbixは標準でもかなりのアイテム&トリガーが入っていますが、オリジナルなものを入れたいときも当然あるかと思います。 そんなときにオリジナルのアイテム&トリガーを入れることができます。 実務ではg …

no image

yumとrpmについて

centOSのカーネルのバージョンアップで時間があるのでブログを更新。 redhat系ではソフトウェアをインストールするときにyumかrpmのコマンドを使うと思います。 私も日頃、両方使っているのです …

no image

S3 commandPoolについて

S3のcommandPoolに関して。 S3にファイルをアップロード、ダウンロードするときに、1つ1つファイルをアップロード、ダウンロードすることが一般的かと思いますが、ファイル数が多くなるとなかなか …

no image

set,ifディレクティブ,変数に関して

これまで基本的なnginxの設定についてみてきましたが、今回はset,ifディレクティブについてみていきます。 Contents1 変数とset2 error_page3 名前付きlocation 変 …

no image

fargateについて

Contents1 ECSについて2 EC2とFargateについて ECSについて 調査した内容について簡単にまとめたのは以下の記事 ECSについて ECSを使った簡単なリポジトリ https:// …

アーカイブ