코더는 보안을 정복 : 공유 및 시리즈 알아보기 - 클릭 재킹
수지는 이틀 만에 예정된 불쾌한 보고서에서 벗어나기 위해 이메일을 엽니다. 그녀는 무료 아이 패드에 대한 링크가 받은 편지함에 나타납니다 볼 수 있습니다. 그것을 클릭 한 후, 그녀는 큰 배너 페이지읽기와 웹 사이트에 간다, "당신의 무료 아이 패드를 위해 여기를 클릭하십시오!". 그녀는 버튼을 클릭하지만 정말 아무것도 일어나지 않을 것 같다. 문제는 어떤 일이 일어났다는 것입니다.
받은 편지함으로 다시 이동한 후, 그녀는 모든 이메일이 삭제되었음을 깨닫습니다. 그녀는 심지어 그들 중 어느 것도 "delete'에 충돌하지 않았다. 무슨 일이죠?
이메일 사이트가 클릭잭이 지정되었습니다. Clickjacking은 사용자가 수행하려고 하지 않은 작업을 수행하도록 속여 심각한 문제를 초래할 수 있습니다.
이제 clickjacking이 어떻게 작동하는지, 왜 위험한지, 그리고 이를 방지하기 위해 좋아하는 개발자가 할 수 있는 일을 살펴보겠습니다.
클릭재킹 이해
"UI 리드레싱 공격"이라고도 하는 clickjacking은공격자가 웹 페이지에서 여러 개의 투명한 레이어를 사용하여 사용자를 속여 단추를 클릭하거나 사용자가 클릭하지 않으려는 링크를 클릭할 때 발생합니다.
혹시 당신의 차에 붙어 버그가 있었다? 그들은 격렬하게 밖으로 날아가려고 창에 날아다다. 버그의 의도는 나무와 야외처럼 보이는 것을 비행하는 것입니다, 그 경로를 차단 유리의 망각.
Clickjacking은 사용자가 버그이고 웹 사이트가 길을 차단하는 유리를 제외하고는 디자인면에서 유사합니다. 사용자는 무료 아이폰과 같은 원하는 것을 봅니다. 공격자는 무료 iPhone 광고 위에 투명 프레임 안에 사이트를 배치합니다. 사용자가 버튼을 클릭하여 'free'prize'를 잡으면 실제로 사이트의 버튼을 클릭하여 의도하지 않은 작업을 수행합니다.
클릭재킹이 위험한 이유
공격자가 클릭재킹으로 무엇을 할 수 있습니까? 그것은 주로 문제의 웹 사이트의 기능에 따라 달라집니다.
공격자는 사용자가 소셜 미디어에서 공격자의 사이트를 좋아하거나 공유하도록 할 수 있습니다. 많은 사람들이 편의를 위해 자신의 소셜 미디어 계정에 로그인 하기 때문에 이 쉽게 해제 될 수 있습니다.
사이트를 프레임에 배치할 수 있는 경우 단추를 클릭하여 중요한 작업을 완료할 수 있으며 이는 공격 벡터역할을 할 수 있습니다. 예를 들어 사용자가 무료 iPad를 얻기 위해 클릭하지만 대신 사이트의 계정 설정을 변경하여 계정 의 보안을 덜 합니다. 이 유형의 공격은 어도비 플래시 플러그인 설정 페이지에대해 발생했습니다. 설정은 투명 프레임에 배치되어 사용자를 속여 마이크와 카메라에 플래시 애니메이션에 액세스할 수 있도록 할 수 있습니다. 공격자는 피해자를 기록할 수 있습니다. 개인 정보 보호의 주요 침공.
이메일 클라이언트가 사이트로 프레임될 수 있어 사용자가 사서함의 모든 이메일을 삭제하거나 공격자가 관리하는 이메일 주소로 이메일을 전달할 수 있습니다.
결론은 사용자가 클릭하는 내용을 볼 수 없으므로 모든 것을 클릭하도록 확신할 수 있습니다. 그것은 사회적 공유 또는 악성 코드를 다운로드 여부, 가능성은 광대 하다.
클릭재킹을 물리치는 방법
클릭재킹을 방지할 수 있습니다. 클릭재킹을 방지하는 것이 좋습니다. "프레임 조상" HTTP 응답 헤더를 사용하여 사이트를 프레임으로 만드는 방법을 제어할 수 있습니다.
- "프레임 조상 없음'- 다른 사이트는 당신의 프레임을 할 수 없습니다. 권장 설정입니다.
- '프레임-조상 셀프'- 사이트의 페이지는 사이트 내의 다른 페이지로만 프레임할 수 있습니다.
- "frame-ancestors self <uri list=""> - Your site can be framed by the sites in the URI lists and no others.</uri>
CSP 프레임-조상은 현재 모든 주요 브라우저에서 지원되지 않습니다. "X-프레임 옵션" HTTP 헤더를 이러한 브라우저의 대체 옵션으로 사용합니다.
- DENY - 아무도 귀하의 사이트를 프레임 할 수 없습니다. 권장되는 설정입니다.
- SAMEORIGIN - CSP에 대한 "자체"와 동일합니다. 당신은 당신의 자신의 콘텐츠를 프레임 수 있지만, 다른 사람은 할 수 없습니다.
- ALLOW-FROM <uri> - Allow the specified URI to frame your content.</uri>
클릭잭을 받지 마세요.
Clickjacking은 공격자가 제품을 조작할 수 있는 경우 평판 손상및 수익 손실로 이어질 수 있는 영리하고 오해의 소지가 있는 공격입니다. 무료 학습 리소스를 확인하여 클릭재킹에 대해 자세히 알아보십시오.
콘텐츠 보안 정책 및 "X-프레임 옵션" 헤더를 사용하여 다른 사용자가 악의적인 방법으로 사이트를 사용하지 못하도록 합니다. 공격자가 사용자를 조작하는 것을 허용하지 마십시오. 클릭잭을 받지 마십시오.
야프 카란 싱
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
코더는 보안을 정복 : 공유 및 시리즈 알아보기 - 클릭 재킹
수지는 이틀 만에 예정된 불쾌한 보고서에서 벗어나기 위해 이메일을 엽니다. 그녀는 무료 아이 패드에 대한 링크가 받은 편지함에 나타납니다 볼 수 있습니다. 그것을 클릭 한 후, 그녀는 큰 배너 페이지읽기와 웹 사이트에 간다, "당신의 무료 아이 패드를 위해 여기를 클릭하십시오!". 그녀는 버튼을 클릭하지만 정말 아무것도 일어나지 않을 것 같다. 문제는 어떤 일이 일어났다는 것입니다.
받은 편지함으로 다시 이동한 후, 그녀는 모든 이메일이 삭제되었음을 깨닫습니다. 그녀는 심지어 그들 중 어느 것도 "delete'에 충돌하지 않았다. 무슨 일이죠?
이메일 사이트가 클릭잭이 지정되었습니다. Clickjacking은 사용자가 수행하려고 하지 않은 작업을 수행하도록 속여 심각한 문제를 초래할 수 있습니다.
이제 clickjacking이 어떻게 작동하는지, 왜 위험한지, 그리고 이를 방지하기 위해 좋아하는 개발자가 할 수 있는 일을 살펴보겠습니다.
클릭재킹 이해
"UI 리드레싱 공격"이라고도 하는 clickjacking은공격자가 웹 페이지에서 여러 개의 투명한 레이어를 사용하여 사용자를 속여 단추를 클릭하거나 사용자가 클릭하지 않으려는 링크를 클릭할 때 발생합니다.
혹시 당신의 차에 붙어 버그가 있었다? 그들은 격렬하게 밖으로 날아가려고 창에 날아다다. 버그의 의도는 나무와 야외처럼 보이는 것을 비행하는 것입니다, 그 경로를 차단 유리의 망각.
Clickjacking은 사용자가 버그이고 웹 사이트가 길을 차단하는 유리를 제외하고는 디자인면에서 유사합니다. 사용자는 무료 아이폰과 같은 원하는 것을 봅니다. 공격자는 무료 iPhone 광고 위에 투명 프레임 안에 사이트를 배치합니다. 사용자가 버튼을 클릭하여 'free'prize'를 잡으면 실제로 사이트의 버튼을 클릭하여 의도하지 않은 작업을 수행합니다.
클릭재킹이 위험한 이유
공격자가 클릭재킹으로 무엇을 할 수 있습니까? 그것은 주로 문제의 웹 사이트의 기능에 따라 달라집니다.
공격자는 사용자가 소셜 미디어에서 공격자의 사이트를 좋아하거나 공유하도록 할 수 있습니다. 많은 사람들이 편의를 위해 자신의 소셜 미디어 계정에 로그인 하기 때문에 이 쉽게 해제 될 수 있습니다.
사이트를 프레임에 배치할 수 있는 경우 단추를 클릭하여 중요한 작업을 완료할 수 있으며 이는 공격 벡터역할을 할 수 있습니다. 예를 들어 사용자가 무료 iPad를 얻기 위해 클릭하지만 대신 사이트의 계정 설정을 변경하여 계정 의 보안을 덜 합니다. 이 유형의 공격은 어도비 플래시 플러그인 설정 페이지에대해 발생했습니다. 설정은 투명 프레임에 배치되어 사용자를 속여 마이크와 카메라에 플래시 애니메이션에 액세스할 수 있도록 할 수 있습니다. 공격자는 피해자를 기록할 수 있습니다. 개인 정보 보호의 주요 침공.
이메일 클라이언트가 사이트로 프레임될 수 있어 사용자가 사서함의 모든 이메일을 삭제하거나 공격자가 관리하는 이메일 주소로 이메일을 전달할 수 있습니다.
결론은 사용자가 클릭하는 내용을 볼 수 없으므로 모든 것을 클릭하도록 확신할 수 있습니다. 그것은 사회적 공유 또는 악성 코드를 다운로드 여부, 가능성은 광대 하다.
클릭재킹을 물리치는 방법
클릭재킹을 방지할 수 있습니다. 클릭재킹을 방지하는 것이 좋습니다. "프레임 조상" HTTP 응답 헤더를 사용하여 사이트를 프레임으로 만드는 방법을 제어할 수 있습니다.
- "프레임 조상 없음'- 다른 사이트는 당신의 프레임을 할 수 없습니다. 권장 설정입니다.
- '프레임-조상 셀프'- 사이트의 페이지는 사이트 내의 다른 페이지로만 프레임할 수 있습니다.
- "frame-ancestors self <uri list=""> - Your site can be framed by the sites in the URI lists and no others.</uri>
CSP 프레임-조상은 현재 모든 주요 브라우저에서 지원되지 않습니다. "X-프레임 옵션" HTTP 헤더를 이러한 브라우저의 대체 옵션으로 사용합니다.
- DENY - 아무도 귀하의 사이트를 프레임 할 수 없습니다. 권장되는 설정입니다.
- SAMEORIGIN - CSP에 대한 "자체"와 동일합니다. 당신은 당신의 자신의 콘텐츠를 프레임 수 있지만, 다른 사람은 할 수 없습니다.
- ALLOW-FROM <uri> - Allow the specified URI to frame your content.</uri>
클릭잭을 받지 마세요.
Clickjacking은 공격자가 제품을 조작할 수 있는 경우 평판 손상및 수익 손실로 이어질 수 있는 영리하고 오해의 소지가 있는 공격입니다. 무료 학습 리소스를 확인하여 클릭재킹에 대해 자세히 알아보십시오.
콘텐츠 보안 정책 및 "X-프레임 옵션" 헤더를 사용하여 다른 사용자가 악의적인 방법으로 사이트를 사용하지 못하도록 합니다. 공격자가 사용자를 조작하는 것을 허용하지 마십시오. 클릭잭을 받지 마십시오.
