2023年4月においてクリックジャッキング未対策のサイトはどの条件で被害を受けるか

2023/04/03 192 users 被害 localStorage 条件 SameSite属性

サマリ CookieやlocalStorage等でセッション管理しているウェブサイトがクリックジャッキング対策していない場合、どの条件で被害を受けるかを説明する。SameSite属性のないCookieでセッション管理しているウェブサイトは、主要ブラウザのデフォルト設定ではクリックジャッキングの影響を受けない。一方、loaclStorageに... 続きを読む

安全なWebアプリケーションの作り方改訂のお知らせ | 徳丸浩の日記

2018/03/06 742 users 徳丸浩 xxE デシリアライゼーション OWASP TOP

徳丸本こと、「 体系的に学ぶ 安全なWebアプリケーションの作り方 」は、2011年3月の発売以降大変多くの方に読んでいただきました。ありがとうございます。 ただ、発売から既に7年が経過し、内容が古くなってきた感は否めません。たとえば、クリックジャッキングの説明はほとんどないですし、OWASP Top 10 2017で選入された安全でないデシリアライゼーションやXXEの説明もありません。なにより、... 続きを読む

ルーターの管理画面にクリックジャッキングの脆弱性、ヤマハやバッファロー、アイ・オー・データなど該当製品あり -INTERNET Watch

2015/10/30 34 users バッファロー JPCERT ルーター ヤマハ IPA

ニュース ルーターの管理画面にクリックジャッキングの脆弱性、ヤマハやバッファロー、アイ・オー・データなど該当製品あり （2015/10/30 13:30） 独立行政法人情報処理推進機構（IPA）と一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は30日、複数のルーター製品の管理画面にクリックジャッキングの脆弱性が存在することを公表した。 この脆弱性は、管理画面にログイン済み... 続きを読む

クリックジャッキング

2013/07/08 39 users Twitter 本稿 Statistics Likes

Statistics Likes 0 Downloads 0 Comments 0 Embed Views 2 Views on SlideShare 57 Total Views 59 クリックジャッキング Presentation Transcript ～ １クリックの後悔～ ※本稿の内容を管理下ではない環境に対して 実施しないでください。 自己紹介 Twitter: abend Webセキュ... 続きを読む

IPAから「クリックジャッキング」に関するレポート出ました - 葉っぱ日記

2013/03/29 22 users IPA CSRF 葉っぱ日記 HTTPリクエスト レポート

Webアプリケーションのセキュリティの分野で「新しい攻撃手法」は実はそれほど多くないのですが、比較的新しく対応が求められているものとしてクリックジャッキングがあります。クリックジャッキングは、CSRFと同じように「Webアプリケーションのサーバー側機能」を利用者（被害者）に実行させる手法です。CSRFは、当該機能を実行するHTTPリクエストを送信させる罠を使いますが、クリックジャッキングの方は、i... 続きを読む

IPAから「クリックジャッキング」に関するレポート出ました | 徳丸浩の日記

2013/03/29 253 users IPA 徳丸浩 CSRF レポート 手法

2013年3月29日金曜日 IPAから「クリックジャッキング」に関するレポート出ました Webアプリケーションのセキュリティの分野で「新しい攻撃手法」は実はそれほど多くないのですが、比較的新しく対応が求められているものとしてクリックジャッキングがあります。クリックジャッキングは、CSRFと同じように「Webアプリケーションのサーバー側機能」を利用者（被害者）に実行させる手法です。CSRFは、当該機... 続きを読む

情報処理推進機構：IPA テクニカルウォッチ：知らぬ間にプライバシー情報の非公開設定を公開設定に変更されてしまうなどの『クリックジャッキング』に関するレポート

2013/03/26 73 users 一正 藤江 IPA テクニカルウォッチ IPA レポート

IPA（独立行政法人情報処理推進機構、理事長：藤江 一正）は、知らぬ間にプライバシー情報の非公開設定を公開設定に変更されてしまうなどの恐れのある「クリックジャッキング」攻撃への対策状況に関する調査を行いました。その結果、ほとんどのウェブサイトで対策が行われていなかったため、「クリックジャッキング」の仕組みやその対策のポイントをまとめた技術レポート（IPAテクニカルウォッチ 第17回）を作成、公開し... 続きを読む

“誤認逮捕”を防ぐWebセキュリティ強化術 - ［3］HTTPヘッダーインジェクションとクリックジャッキング：ITpro

2013/02/26 49 users ITpro 錯誤 リダイレクト処理 誤認逮捕 箇所

HTTPヘッダーインジェクション攻撃は、Cookie出力やリダイレクト処理など、HTTPレスポンスヘッダーを出力している箇所に対する攻撃である。またクリックジャッキングとは、視覚的な錯誤を利用して、なりすまし被害者にボタンをクリックするよう誘導する攻撃だ。 続きを読む

Content Security PolicyでXSSを断ち切る | monoの開発ブログ

2012/03/16 33 users XSS CSP mono リソース 攻撃

XSSやクリックジャッキングなどの攻撃を軽減するContent Seucrity Policy (CSP)を紹介します。Google Chromeの拡張機能でもそろそろ有効化されそうですし、学ぶにはよいタイミングなのではないでしょうか。 Content Security Policyでは、読み込み可能なリソースをホワイトリストで制限することで、悪意ある攻撃者によって予期しないリソースを読み込まされ... 続きを読む

Rubyで安全なWebアプリを作るためのメモ | monoの開発ブログ

2012/02/18 580 users mono Ruby メモ Webアプリ 開発ブログ

RubyでWebアプリケーションを作るときにセキュリティ関連でやっておくべきことのメモです。 以下の4つの問題について、Sinatra・Hamlを使っている環境(うちの環境)での対策方法を説明しています。それぞれの問題についての詳細はここでは触れないので、徳丸本を読むとよいと思います。 XSS CSRF クリックジャッキング IEのsniffing XSS対策 エスケープ漏れを防ぐ きちんとエスケ... 続きを読む

そろそろクリックジャッキングについて一言いっておくか - 最速転職研究会

2009/03/06 246 users 一言 最速転職研究会

21:13 | Firefox3で「サードパーティのCookieも保存する」をオフにする。防げる。いずれのブラウザにもサードパーティ製のcookieを制限するオプションがあるが、Firefox3以外だと、フレーム内表示された場合に「新規にcookieを保存しない」だけで保存済みのcookieは送信してしまう。軽く調べてみたところ、次のようになった。(間違ってたら教えてください)サードパーティのco... 続きを読む

クリックジャッキングってこうですか？ わかりません

2009/03/03 3582 users

ようこそ！ つるぺた秘宝館へ…！ きみも、あんなアレや、こんなソレを見にきちゃたんですね…！ 悪い子…！ つるぺた(無修正)のアレを見るには下の「秘宝館」をクリック！ → 秘宝館に入場してくれた人たち → このページの説明が入る予定のところ 続きを読む

主要ブラウザすべてに影響する「クリックジャッキング」攻撃とは

2009/03/03 612 users JPCERTコーディネーションセンター JPCERT 攻撃

JPCERTコーディネーションセンター（JPCERT/CC）は3日、ユーザーのWebブラウザ上のクリック操作を乗っ取る「クリックジャッキング」と呼ばれる攻撃について、攻撃の概要と対策法を示す技術メモを公開した。 　クリックジャッキングとは、透過指定されたiframeなどの要素に標的サイトのコンテンツを読み込み、これを攻撃者サイトの要素よりも上に配置することで、Webブラウザの画面上には攻撃者サイト... 続きを読む