1. Clickjacking 2. Clickjacking 원리 3. Clickjacking Demo 4. X-Frame-Options 5. Reference

1. The Clickjacking attack,
X-Frame-Options
2014. 12. 16
Version : 1.0.0
made by 정보배
R&D Team

2. 2
CONTENTS.
1. Clickjacking ……………… 3
2. Clickjacking 원리 ……………… 5
3. Clickjacking Demo ……………… 9
4. X-Frame-Options ……………… 10
5. Reference ……………… 11

3. 3
1.Clickjacking
눈 뜨고 당하는 Clickjacking
ClickClickjacking Hijacking
웹 브라우저에서 사용자의 click을 훔쳐 엉뚱한 곳을 click하게 만드는 해킹방법
2008년 Robert Hansen와 Jeremiah Grossman이 발표
마우스 click과 hijacking의 합성어

4. 4
1.Clickjacking
눈 뜨고 당하는 Clickjacking

5. 5
2.Clickjacking 원리
javascript 레이어 구성
자유로운 레이어 구성
Layer 1
Layer 2
Layer 3 Layer 4

6. 6
2.Clickjacking 원리
javascript 레이어 구성
진짜 페이지
www.google.com가짜 페이지
악성 URL
진짜 페이지
www.google.com가짜 페이지
악성 URL
진짜 페이지
www.google.com
opacity : 100 opacity : 100 opacity : 100
www.google.com클릭 시 악성 url로 이동

7. 7
2.Clickjacking 원리
XXS(Cross-site-scripting)
XXS(Cross-Site-Scripting)
웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점
해커가 삽입한 스크립트를 핑터링하지 않고 사용할 경우 발생

8. 8
2.Clickjacking 원리
사용자가 원하는 화면
Clickjacking 동작원리
악성 Frame

9. 9
3.Clickjacking Demo

10. 10
4.X-Frame-Options
HTML 확장 해더
DENY
해당 페이지는 iframe 내에서 불러올 수 없다.
SAMEORIGN
해당 페이지와 동일한 도메인 페이지 안에서는 frame이나 iframe으로 불러올 수 있다.
ALLOW-FROM url
해당 페이지는 지정된 url 페이지에서 frame으로 불러올 수 있다.

11. 11
5.Reference
http://javascript.info/tutorial/clickjacking
http://cafe.naver.com/secuholic/1308.
http://cafe.naver.com/secuholic/1308
http://jumpzero.tistory.com/20
http://blog.naver.com/blogpyh/220131721590
http://www.yunsobi.com/blog/612
…

12. 12