Pocket

ClickJacking 対策

  • add this entry to hatena bookmark

OWASP ZAP(Zed Attack Proxy)でペネトレーションテストを行ったWebサイトにて、以下のアラートが検出された。

アラート X-Frame-Options header not set
Risk Informational
Reliablity Warning
Description X-Frame-Options header is not included in the HTTP response to protect against ‘ClickJacking’ attacks
Solution Most modern Web browsers support the X-Frame-Options HTTP header, ensure it’s set on all web pages returned by your site (if you expect the page to be framed only by pages on your server (e.g. it’s part of a FRAMESET) then you’ll want to use SAMEORIGIN, otherwise if you never expect the page to be framed, you should use DENY.
Reference http://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-options.aspx?Redirected=true

リスクは上記のとおり「Informational」だが、対策を施す事とする。

このClickJacking(クリックジャッキング)は、2009年3月にJPCERT/CCにより解説されている。以下が該当のドキュメントである。

JPCERT/CC 技術メモ – クリックジャッキング対策

このドキュメントに対策も記載されている。(Webサーバ側での対策として、Apache2 と IIS6.0 での対策がそれぞれ記載されている。また、HTMLファイルでの対策も記載されている。)

Apache2での対策として、以下を設定した。

Header always append X-FRAME-OPTIONS "DENY"

設定を施した後で、OWASP ZAP(Zed Attack Proxy)であらためて検査を実施すると、「X-Frame-Options header not set」が検出されなくなった。

本体策が施された後のレスポンスヘッダは以下となる。

HTTP/1.1 200 OK
Date: (省略)
Server: (省略)
X-Content-Type-Options: nosniff
X-FRAME-OPTIONS: DENY
Content-Type: text/html;charset=UTF-8

対策完了!

Pocket

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です


*

チェックサイト RSS Feed読者登録はいかがでしょうか?RSS配信中です。