不正操作を促す話題の攻撃手法「クリックジャッキング」、JPCERT/CCが対策法を公開
有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)は3月3日、クリックジャッキングに対する技術メモをPDF資料で公開した。ウェブサイト制作者や運営者を対象に、クリックジャッキング攻撃の概要や対策の1つである「X-FRAME-OPTIONS」の概要、記述方法、設定値による挙動の違いについて解説している。 クリックジャッキングは、Robert Hansen氏、Jeremiah Grossman氏が報告した、ウェブ利用者を標的とした攻撃手法。主要なブラウザ利用者すべてがこの脅威の影響を受けることが明らかになっている。2008年9月27日に「OWASP NYC AppSec 2008カンファレンス」において詳細を発表する予定が、ベンダーからの要請により直前にキャンセルされたことでも話題となった。 クリックジャッキングの手法は次の通り。まず、透過指定されたiframeなどの
クリックジャック - 素人がプログラミングを勉強していたブログ
最近流行のクリックジャックについて、メモ程度にまとめておく。 一言で言うと、外部サイトのボタンをユーザが間違えてクリックしてしまうように仕向けるテクニックが、クリックジャックである。 クリックジャッキングってこうですか? わかりませんではiframeをCSSのopacityプロパティを利用して透明にして、その下にダミーのボタンを置いている。目に見えているボタンを押そうとすると、その上に被せてある透明なiframeのボタンが押されてしまう。 [Sleipnir]No Click Jacking — Gistはこの攻撃に対する防御手段として考えられたユーザースクリプトで、透明なiframeを検出する。 しかし、opacity以外にもクリックジャックをする方法はあるので不十分である。 例えば 2009-03-04_2146 - javascripter's library にスクリーンキャストを
javascript - クリックジャック殺しなbookmarklet : 404 Blog Not Found
2009年03月05日02:30 カテゴリLightweight Languages javascript - クリックジャック殺しなbookmarklet 意外な盲点。 主要ブラウザすべてに影響する「クリックジャッキング」攻撃とは しかし、 クリックジャック - 素人がプログラミングを勉強するブログ FirefoxユーザはNoScriptを使うか、about:configからpermissions.default.subdocumentを3にしましょう。 というのはあまりに厳しく悲しい。対策しようは果たしてないのでしょうか? その結果が、こちら。 clickUnJack javascript:(function(d,u){var s=d.createElement('script');s.charset='UTF-8';s.src=u;d.body.appendChild(s)})(do
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
