ClickJacking이란?

Reverse Code Engineering 2008. 10. 30. 10:59 posted by jz-


 

click jacking이란 낚시페이지와 진짜 목적인 페이지를 안보이는 페이지 위에 놓고 클릭을 유도하는 방법입니다.

http://www.planb-security.net/notclickjacking/iframetrick.html

여기서 잘 보여주고 있습니다.

좀더 풀어쓰자면 이런겁니다.

 

원하는 페이지를 안보이게 설정합니다. opacity를 이용하면 되죠.

예를 들면 사진첩의 공개설정 페이지를 안보이게 띄워놓고

이 위에 보이는 페이지를 겹쳐놓습니다.

그리고 게임이라든지, 링크라던지, 사용자의 클릭을 유도하면서

'전체공개' 로 바꾸는 버튼의 위치에 가짜 버튼을 놓으면

사용자는 자기도 모르게 사진첩을 전체공개하게 되죠.

뭐 그런 방식입니다.

물론 브라우저가 원하는 페이지의 인증된 세션을 갖고 있어야겠죠

그건 어렵지 않겠죠?

위 링크에 보면 스샷이 있습니다.(http://www.planb-security.net/notclickjacking/clickjack-ie6.png)



보면 설정을 바꾸는 위치에 클릭을 유도하죠.

저 반투명한 부분은 일부러 보이게 한거고, 안보입니다.

이걸 취약점이라 해야할까요 사회공학이라 해야할까요? 하하

아이디어 좋네요.