クリックジャッキングのテスト

- 2009-01-31(Sat) -

クリックジャッキング…といってもその手段はいくつかあるかと思いますが、XSS（クロスサイトスクリプティング）やCSRF（クロスサイトリクエストフォージェリ）による攻撃/偽装を防ぐFirefoxの拡張機能がいくつかありますので、それらの機能を持った拡張機能で下記テストページのクリックジャッキングが防げるかどうか試してみました。

Google Chrome 1.0.154.43 ClickJacking Vulnerability

JavaScriptを有効にしている状態で一番下のリンク（Clickjack The Target ?）をクリックして、同じタブにyahoo.comを開くなら○、xssed.comを開くなら×とします。

Content Security Policy：×
CSRF Protector：×
NoScript：○（JavaScriptを許可している場合は×）
noXSS：×
RequestPolicy：○

NoScriptはJavaScriptを全許可にして、設定のXSS欄にチェックを入れる方法ではダメでした。基本的にJavaScriptをブロックする使い方であればNoScriptでいいのでしょうが、そうしない場合はRequestPolicyが有効みたいですね。

関連記事

Firenomics - 拡張機能 (2009/02/15)
Height for Side-Bar - 拡張機能 (2009/02/08)
クリックジャッキングのテスト (2009/01/31)
bookmarks history panel - 拡張機能 (2009/01/24)
Colour Contrast Analyser - 拡張機能 (2009/01/18)

この記事のURL | 拡張機能 | コメント(3) | トラックバック(0) |　▲ top

<<Height for Side-Bar - 拡張機能 | メイン | bookmarks history panel - 拡張機能>>

- 今更ですが -
挙げておられる拡張機能をいれずにテストページを試してみたのですが、
Firefox3.0.10、3.5b4ともyahoo.comを開きますね。
IE6、IE8も同じでした。
Iron 2.0.168、2.0.178だとxssed.comを開きました。
標準で対策されたということですかね。

2009/05/17 19:59 | URL | shige #iqhSIKS2 [ 編集] |　 ▲ top

- 残念ながら -
テストページの一番下にあるリンクのonclick属性が
onclick="clickjack_armor(evt)"
になっていますが、実際は
onclick="clickjack_armor(event)"
としないと意図したとおりに動作しません。

上記のように修正して確認したところ、Firefox 3.0.10ではxssed.comを開き、RequestPolicyを利用した場合はyahoo.comを開きました。

2009/05/17 22:56 | URL | 更新情報Wiki管理人 #r1C70W1Q [ 編集] |　 ▲ top

- ありがとうございます -
Ironだけ弱いのかと思っていたのですが、
違ったんですね。
わざわざ検証してくださりありがとうございました。

2009/05/17 23:36 | URL | shige #iqhSIKS2 [ 編集] |　 ▲ top

コメントの投稿

▲ top

トラックバック

トラックバックURL
→https://fxwiki.blog.fc2.com/tb.php/184-054a9171

| メイン |