Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
The Clickjacking attack,
X-Frame-Options
2014. 12. 16
Version : 1.0.0
made by 정보배
R&D Team
2
CONTENTS.
1. Clickjacking ……………… 3
2. Clickjacking 원리 ……………… 5
3. Clickjacking Demo ……………… 9
4. X-Frame-Options ……………… 1...
3
1.Clickjacking
눈 뜨고 당하는 Clickjacking
ClickClickjacking Hijacking
웹 브라우저에서 사용자의 click을 훔쳐 엉뚱한 곳을 click하게 만드는 해킹방법
2008년 R...
4
1.Clickjacking
눈 뜨고 당하는 Clickjacking
5
2.Clickjacking 원리
javascript 레이어 구성
자유로운 레이어 구성
Layer 1
Layer 2
Layer 3 Layer 4
6
2.Clickjacking 원리
javascript 레이어 구성
진짜 페이지
www.google.com가짜 페이지
악성 URL
진짜 페이지
www.google.com가짜 페이지
악성 URL
진짜 페이지
www.goo...
7
2.Clickjacking 원리
XXS(Cross-site-scripting)
XXS(Cross-Site-Scripting)
웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점
해커가 삽...
8
2.Clickjacking 원리
사용자가 원하는 화면
Clickjacking 동작원리
악성 Frame
9
3.Clickjacking Demo
10
4.X-Frame-Options
HTML 확장 해더
DENY
해당 페이지는 iframe 내에서 불러올 수 없다.
SAMEORIGN
해당 페이지와 동일한 도메인 페이지 안에서는 frame이나 iframe으로 불러올 ...
11
5.Reference
http://javascript.info/tutorial/clickjacking
http://cafe.naver.com/secuholic/1308.
http://cafe.naver.com/se...
12
Prochain SlideShare
Chargement dans…5
×

제 6회 DGMIT R&D 컨퍼런스: The Clickjacking attackXFrameOptions

1. Clickjacking
2. Clickjacking 원리
3. Clickjacking Demo
4. X-Frame-Options
5. Reference

  • Identifiez-vous pour voir les commentaires

제 6회 DGMIT R&D 컨퍼런스: The Clickjacking attackXFrameOptions

  1. 1. The Clickjacking attack, X-Frame-Options 2014. 12. 16 Version : 1.0.0 made by 정보배 R&D Team
  2. 2. 2 CONTENTS. 1. Clickjacking ……………… 3 2. Clickjacking 원리 ……………… 5 3. Clickjacking Demo ……………… 9 4. X-Frame-Options ……………… 10 5. Reference ……………… 11
  3. 3. 3 1.Clickjacking 눈 뜨고 당하는 Clickjacking ClickClickjacking Hijacking 웹 브라우저에서 사용자의 click을 훔쳐 엉뚱한 곳을 click하게 만드는 해킹방법 2008년 Robert Hansen와 Jeremiah Grossman이 발표 마우스 click과 hijacking의 합성어
  4. 4. 4 1.Clickjacking 눈 뜨고 당하는 Clickjacking
  5. 5. 5 2.Clickjacking 원리 javascript 레이어 구성 자유로운 레이어 구성 Layer 1 Layer 2 Layer 3 Layer 4
  6. 6. 6 2.Clickjacking 원리 javascript 레이어 구성 진짜 페이지 www.google.com가짜 페이지 악성 URL 진짜 페이지 www.google.com가짜 페이지 악성 URL 진짜 페이지 www.google.com opacity : 100 opacity : 100 opacity : 100 www.google.com클릭 시 악성 url로 이동
  7. 7. 7 2.Clickjacking 원리 XXS(Cross-site-scripting) XXS(Cross-Site-Scripting) 웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점 해커가 삽입한 스크립트를 핑터링하지 않고 사용할 경우 발생
  8. 8. 8 2.Clickjacking 원리 사용자가 원하는 화면 Clickjacking 동작원리 악성 Frame
  9. 9. 9 3.Clickjacking Demo
  10. 10. 10 4.X-Frame-Options HTML 확장 해더 DENY 해당 페이지는 iframe 내에서 불러올 수 없다. SAMEORIGN 해당 페이지와 동일한 도메인 페이지 안에서는 frame이나 iframe으로 불러올 수 있다. ALLOW-FROM url 해당 페이지는 지정된 url 페이지에서 frame으로 불러올 수 있다.
  11. 11. 11 5.Reference http://javascript.info/tutorial/clickjacking http://cafe.naver.com/secuholic/1308. http://cafe.naver.com/secuholic/1308 http://jumpzero.tistory.com/20 http://blog.naver.com/blogpyh/220131721590 http://www.yunsobi.com/blog/612 …
  12. 12. 12

×