滲透測試弱點修補_Clickjacking: X-Frame-Options header



攻擊者利用網頁應用程式允許使用框架(Frame)語法載入其他網站之頁面,可以誘騙其他使用者瀏覽並點擊攻擊者所設計之頁面,其點擊的行為可以直接於被載入的網頁應用程式頁面內執行。






https://resources.infosecinstitute.com/topics/general-security/clickjacking-strokejacking-ui-redress/

可以從AP層面設置
利用X-Frame-Options表頭資訊限制網頁不允許被HTML的Frame所載入。
也可透過config配置檔設置

修改httpd.conf檔案,將下列參數加入設定中,之後重新啟動伺服器即可。
Header always append X-Frame-Options SAMEORIGIN




Ref:
https://www.clickcease.com/blog/what-is-clickjacking-and-how-does-it-affect-ppc-ads/
https://qadit.com/blog/click-jacking-hijacking-the-click/

留言

這個網誌中的熱門文章

何謂淨重(Net Weight)、皮重(Tare Weight)與毛重(Gross Weight)

Architecture(架構) 和 Framework(框架) 有何不同?_軟體設計前的事前規劃的藍圖概念

經得起原始碼資安弱點掃描的程式設計習慣培養(五)_Missing HSTS Header