Hello there, ('ω')ノ
アカウント乗っ取りへのクリックジャッキングを。
脆弱性:
クリックジャッキング
記事:
https://medium.com/@abhishake21/clickjacking-to-account-takeover-97e286f26b95
ツール:
Burp Suite
クリックジャッキングは、ユーザが意図しないものを。
クリックするようにだまされる攻撃で。
つまり、攻撃者はCSRFと同じように、ユーザがWebアプリで。
実行できるアクションを実行する可能性があって。
ただし、クリックジャッキングでは、次のタスクを実行するために。
ユーザの操作が必要で、CSRFではJavaScriptを使用して。
自動的にトリガーできるため、操作は必要なくて。
検出率は低いと見なされるものの。
ユーザの削除や追加、ユーザのメールの変更などの。
重要なアクションを含むURLを見つけた場合は。
一部の企業はそれをGoogleのような中/高検出値と見なす可能性があって。
今回は、そのクリックジャッキングを見つけることに。
まず、Webサイトでバグを探していて。
アカウントの乗っ取りにつながるCSRFの問題を報告すると。
リクエストにCSRF Token/Keyを追加することでそれを修正して。
ページがクリックジャッキングに対して脆弱であることがわかるまで。
さまざまな方法でバイパスしようとしてもうまくいかず。
URLがクリックジャックできるかどうかを知るのに。
役立つWebサイトを使用することに。
https://3os.org/assets/pages/clickjacking/?
URLはクリックジャッキングに対して脆弱であるため。
すべてのCSRF保護をバイパスできるので。
下記のページでは、ユーザ名とメールアドレスを変更できて。
そこで、ユーザがボタンをクリックする必要があるページを作成して。
実際に後ろで起こっていたのは、ユーザがテキストをドラッグして。
電子メールボックスに入れて。
[変更を保存]をクリックして、アカウントの乗っ取りにつながったことで。
下記にHTMLのコードがあって。
終了ボタンと赤い枠を配置して。
「DRAG ME TO THEREDBOX」のテキストを変更することもできて。
Best regards, (^^ゞ