3. 3
1.Clickjacking
눈 뜨고 당하는 Clickjacking
ClickClickjacking Hijacking
웹 브라우저에서 사용자의 click을 훔쳐 엉뚱한 곳을 click하게 만드는 해킹방법
2008년 Robert Hansen와 Jeremiah Grossman이 발표
마우스 click과 hijacking의 합성어
6. 6
2.Clickjacking 원리
javascript 레이어 구성
진짜 페이지
www.google.com가짜 페이지
악성 URL
진짜 페이지
www.google.com가짜 페이지
악성 URL
진짜 페이지
www.google.com
opacity : 100 opacity : 100 opacity : 100
www.google.com클릭 시 악성 url로 이동
10. 10
4.X-Frame-Options
HTML 확장 해더
DENY
해당 페이지는 iframe 내에서 불러올 수 없다.
SAMEORIGN
해당 페이지와 동일한 도메인 페이지 안에서는 frame이나 iframe으로 불러올 수 있다.
ALLOW-FROM url
해당 페이지는 지정된 url 페이지에서 frame으로 불러올 수 있다.