2024 02 ≪  03月 12345678910111213141516171819202122232425262728293031  ≫ 2024 04


クリックジャッキングのテスト

- 2009-01-31(Sat) - 

クリックジャッキング…といってもその手段はいくつかあるかと思いますが、XSS(クロスサイトスクリプティング)やCSRF(クロスサイトリクエストフォージェリ)による攻撃/偽装を防ぐFirefoxの拡張機能がいくつかありますので、それらの機能を持った拡張機能で下記テストページのクリックジャッキングが防げるかどうか試してみました。

Google Chrome 1.0.154.43 ClickJacking Vulnerability

JavaScriptを有効にしている状態で一番下のリンク(Clickjack The Target ?)をクリックして、同じタブにyahoo.comを開くなら○、xssed.comを開くなら×とします。

NoScriptはJavaScriptを全許可にして、設定のXSS欄にチェックを入れる方法ではダメでした。基本的にJavaScriptをブロックする使い方であればNoScriptでいいのでしょうが、そうしない場合はRequestPolicyが有効みたいですね。

関連記事
スポンサーサイト



この記事のURL | 拡張機能 | コメント(3) | トラックバック(0) | ▲ top
<< | メイン | >>
 
コメント
- 今更ですが -
挙げておられる拡張機能をいれずにテストページを試してみたのですが、
Firefox3.0.10、3.5b4ともyahoo.comを開きますね。
IE6、IE8も同じでした。
Iron 2.0.168、2.0.178だとxssed.comを開きました。
標準で対策されたということですかね。
2009/05/17 19:59  | URL | shige #iqhSIKS2 [ 編集] |  ▲ top

- 残念ながら -
テストページの一番下にあるリンクのonclick属性が
onclick="clickjack_armor(evt)"
になっていますが、実際は
onclick="clickjack_armor(event)"
としないと意図したとおりに動作しません。

上記のように修正して確認したところ、Firefox 3.0.10ではxssed.comを開き、RequestPolicyを利用した場合はyahoo.comを開きました。
2009/05/17 22:56  | URL | 更新情報Wiki管理人 #r1C70W1Q [ 編集] |  ▲ top

- ありがとうございます -
Ironだけ弱いのかと思っていたのですが、
違ったんですね。
わざわざ検証してくださりありがとうございました。
2009/05/17 23:36  | URL | shige #iqhSIKS2 [ 編集] |  ▲ top


コメントの投稿















管理者にだけ表示を許可する


▲ top
 
トラックバック
トラックバックURL
→https://fxwiki.blog.fc2.com/tb.php/184-054a9171
| メイン |