Security

クリックジャッキング by IPA「安全なウェブサイトの作り方 第7版」

投稿日:2015年4月24日 更新日:

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「クリックジャッキング」から一部抜粋する。(この資料はPDFでしか提供されていない)

注意が必要なウェブサイトの特徴

ログイン後の利用者のみが利用可能な機能(サービスや設定)を、マウス操作のみで実行可能なウェブサイトが、クリックジャッキング攻撃による影響を受ける可能性があります。マウス操作のみで実行可能な処理が、利用者に紐づいた情報の公開範囲の変更処理等の場合は、攻撃による被害が大きくなるため、特に注意が必要です。

また、対策を実施した場合、後述する副作用が発生します。そのため、ウェブサイトの情報セキュリティポリシーや副作用等を加味して、クリックジャッキングの脆弱性対策の実施有無を検討してください。

根本的解決

  • 9-(i)-a HTTP レスポンスヘッダに、X-Frame-Optionsヘッダフィールドを出力し、他ドメインのサイトからの frame 要素や iframe 要素による読み込みを制限する。
  • 9-(i)-b 処理を実行する直前のページで再度パスワードの入力を求め、実行ページでは、再度入力されたパスワードが正しい場合のみ処理を実行する。

保険的対策

  • 9-(ii) 重要な処理は、一連の操作をマウスのみで実行できないようにする。

関連CWE

  • なし

参考URL

📂-Security
-

執筆者:labo


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

Web Security

CSP (Contents Security Policy) の記述例

目次記述例メモその他のメモ参考 記述例 デフォルト設定の記述をする(HTTPレスポンスヘッダの出力)。 同一オリジンも含めて全てのソース1からの読み込みを禁止する場合 Content-Security …

セキュリティ

GnuPGでファイルを暗号化・復号する手順

USBメモリにデータを入れて持ち運ぶ場合、なんの対策もしていないと「USBメモリの紛失」がそのまま「データ流出」につながります。これを防ぐ1つ方法は、予めファイルを暗号化した状態で保存しておくことです …

Web Security

「秘密の質問」機能について

目次「秘密の質問」とは?「秘密の質問」をどう使えばよいのか?参考サイト 「秘密の質問」とは? 「秘密の質問」とは、「質問」とそれに対応する本人しか知らない「答え」を設定し、パスワードリマインダやインタ …

no image

ウェブサイトの安全性向上のための取り組み – パスワードに関する対策 by IPA「安全なウェブサイトの作り方 第7版」

ウェブサイトの安全性向上のための取り組み – パスワードに関する対策 by IPA「安全なウェブサイトの作り方 第7版」 パスワードに関する対策 初期パスワードは、推測が困難な文字列で発行 …

ネットワークビギナーのための情報セキュリティハンドブック Ver.2.00 の目次

目次はじめにネットワークビギナーのための情報セキュリティハンドブック Ver.2.00目次プロローグ サイバー攻撃ってなに?第1章 基本のセキュリティ~ステップバイステップでセキュリティを固めよう!~ …