클릭재킹(Clickjacking) 취약점

 

클릭재킹(Clickjacking) 취약점

 

1. 개요

클릭재킹은 iframe 요소와 CSS를 교묘하게 이용해 투명하게 만든 공격 대상 사이트를 함정 사이트와 서로 겹쳐서 사용자가 모르는 사이에 공격 대상 사이트의 기능을 클릭하도록 유도하는 공격 방법이다.

클릭재킹 페이지는 감춰진 링크를 사용자가 클릭함으로써 의도되지 않는 행동을 수행하게 속인다. 사용자는 실제로는 감춰진 페이지에서 행동을 수행하지만 자신은 보이는 버튼을 클릭했다고 생각한다. 감춰진 페이지는 인증 페이지일 수 있으며, 공격자는 사용자가 전혀 의도하지 않은 행동을 수행할 수 있다.

 

2. 발생 위치

마우스 등 입력 장치의 조작만으로 '중요한 처리'를 실행할 수 있고, 인증을 필요로 하는 페이지

 

3. 발생 원인

클릭재킹은 응용 프로그램의 버그가 아닌 HTML 사양을 교묘하게 악용한 공격이므로, 버그를 수정해서 예방할 수 있는 유형의 취약점이 아니다.

 

4. 대응 방법

클릭재킹 대책은 응용 프로그램 측에서는 어렵기 때문에 브라우저 측의 지원이 필요하다.

마이크로소프트에서는 frame과 iframe에서의 참조를 제한하는 X-Frame-Options라는 사양을 제안해 현재는 주요 브라우저(IE, 파이어폭스, 크롬, 사파리, 오페라)의 최신 버전에 적용되어 있다.

X-Frame-Options은 응답 헤더로 정의돼 있으며 DENY(거부) 또는 SAMEORIGIN(동일 출처에 한정해서 허가) 중 하나의 값을 취한다. DENY를 지정한 응답은 Frame과 같은 안쪽에서 표시되지 않는다. SAMEORIGIN의 경우 주소 표시줄에 표시된 출처와 동일한 출처인 경우에만 표시된다.

---