Shikata Ga Nai

Private? There is no such things.

Clickjacking to Account Takeoverを訳してみた

Hello there, ('ω')ノ

 

アカウント乗っ取りへのクリックジャッキングを。

 

脆弱性:

 クリックジャッキング

 

記事:

 https://medium.com/@abhishake21/clickjacking-to-account-takeover-97e286f26b95

 

ツール:

 Burp Suite

 

クリックジャッキングは、ユーザが意図しないものを。

クリックするようにだまされる攻撃で。

つまり、攻撃者はCSRFと同じように、ユーザがWebアプリで。

実行できるアクションを実行する可能性があって。

ただし、クリックジャッキングでは、次のタスクを実行するために。

ユーザの操作が必要で、CSRFではJavaScriptを使用して。

自動的にトリガーできるため、操作は必要なくて。

検出率は低いと見なされるものの。

ユーザの削除や追加、ユーザのメールの変更などの。

重要なアクションを含むURLを見つけた場合は。

一部の企業はそれをGoogleのような中/高検出値と見なす可能性があって。

 

今回は、そのクリックジャッキングを見つけることに。

まず、Webサイトでバグを探していて。

アカウントの乗っ取りにつながるCSRFの問題を報告すると。

リクエストにCSRF Token/Keyを追加することでそれを修正して。

 

f:id:ThisIsOne:20211209133307p:plain

 

ページがクリックジャッキングに対して脆弱であることがわかるまで。

さまざまな方法でバイパスしようとしてもうまくいかず。

URLがクリックジャックできるかどうかを知るのに。

役立つWebサイトを使用することに。


 https://3os.org/assets/pages/clickjacking/?

f:id:ThisIsOne:20211209153144p:plain

 

URLはクリックジャッキングに対して脆弱であるため。

すべてのCSRF保護をバイパスできるので。

下記のページでは、ユーザ名とメールアドレスを変更できて。

 

f:id:ThisIsOne:20211209133405p:plain

 

そこで、ユーザがボタンをクリックする必要があるページを作成して。

実際に後ろで起こっていたのは、ユーザがテキストをドラッグして。

電子メールボックスに入れて。

[変更を保存]をクリックして、アカウントの乗っ取りにつながったことで。

 

f:id:ThisIsOne:20211209133435p:plain

 

下記にHTMLのコードがあって。

 https://pastebin.com/av71Mmf9

 

f:id:ThisIsOne:20211209152000p:plain

 

終了ボタンと赤い枠を配置して。

「DRAG ME TO THEREDBOX」のテキストを変更することもできて。

 

Best regards, (^^ゞ