クリックジャキングに対して潜在的に脆弱な Web アプリケーション

medium Nessus プラグイン ID 85582

Language:

概要

リモート Web サーバーが、特定クラスの Web アプリケーション脆弱性を緩和できない可能性があります。

説明

リモートの　Web サーバーは、全てのコンテンツ応答において、X-Frame-Options 応答ヘッダーまたは Content-Security-Policy「frame-ancestors」応答ヘッダーを設定しません。このため、サイトがクリックジャッキングまたは UI リドレス攻撃にさらされる可能性があります。このような攻撃では、攻撃者はユーザーを騙して、ユーザーが認識しているページとは異なる脆弱性のあるページの領域をクリックさせる可能性があります。これにより、ユーザーが偽のトランザクションあるいは悪意のあるトランザクションを実行する可能性があります。

X-Frame-Options は、クリックジャッキングを緩和する方法として　Microsoft が提案したもので、現在は全ての主要なブラウザベンダーによりサポートされています。

Content-Security-Policy（CSP）は、W3C Web Application Security Working Group により提案されたもので、全ての主要なブラウザベンダーが、クリックジャッキングや他の攻撃を緩和する方法としてサポートを強化しています。「frame-ancestors」ポリシーディレクティブは、保護されたリソースを埋め込むことができるソースを制限します。

注意：X-Frame-Options と Content-Security-Policy 応答ヘッダーは、クリックジャッキングの緩和であるだけではなく、これらは現在、自動化を通じて検出できる最も信頼性の高いメソッドでもあります。したがって、他の緩和戦略（例：フレームバスティング JavaScript）が展開されている場合、あるいはページがセキュリティに敏感なトランザクションを実行しない場合、このプラグインによって偽陽性が発生する可能性があります。

ソリューション

X-Frame-Options または Content-Security-Policy HTTP ヘッダー（「frame-ancestors」ディレクティブのある）をページの応答と共に返します。
これによって、フレームまたは iframe　HTML タグを使用している時に、ページのコンテンツが別のサイトによりレンダリングされるのを防ぎます。