「X-Frame-Options」ヘッダーがありません
low Web App Scanning プラグイン ID 98060
Language:
概要
「X-Frame-Options」ヘッダーがありません説明
クリックジャッキング (ユーザーインターフェイス修正攻撃、UI 修正攻撃、UI 修正) は、Web ユーザーを騙して、ユーザーがクリックしていると認識しているものとは異なるものをクリックさせるように仕向ける悪意のある手法であり、一見無害な Web ページをクリックした際に機密情報を漏洩させたり、コンピューターをコントロールしたりする可能性があります。サーバーは「X-Frame-Options」ヘッダーを返しませんでした。これは、この Web サイトがクリックジャッキング攻撃のリスクがあることを意味します。
「X-Frame-Options」HTTP 応答ヘッダーを使用して、ブラウザがフレームまたは iframe 内にページをレンダリングできるかどうかを示すことができます。サイトはこれを利用して、コンテンツが他のサイトに埋め込まれないようにし、クリックジャッキング攻撃を回避することができます。
ソリューション
「X-Frame-Options」ヘッダーを含めるように Web サーバーを構成します。参考資料
http://tools.ietf.org/html/rfc7034
https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options
プラグインの詳細
深刻度: Low
ID: 98060
タイプ: remote
ファミリー: HTTP Security Header
公開日: 2017/3/31
更新日: 2024/3/25
スキャン テンプレート: basic, config_audit, full, overview, pci, quick, scan
リスク情報
VPR
リスクファクター: Low
スコア: 2.2
CVSS v2
リスクファクター: Low
基本値: 2.6
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:N/I:P/A:N
CVSS スコアのソース: Tenable
CVSS v3
リスクファクター: Low
基本値: 3.1
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N
CVSS スコアのソース: Tenable
参照情報
OWASP: 2010-A6, 2013-A5, 2017-A6, 2021-A4, 2021-A7
WASC: Application Misconfiguration
CAPEC: 103, 111, 141, 142, 160, 181, 21, 222, 384, 385, 386, 387, 388, 504, 506, 510, 59, 60, 654, 75, 76, 89
DISA STIG: APSC-DV-002560
HIPAA: 164.306(a)(1), 164.306(a)(2)
ISO: 27001-A.10.1, 27001-A.14.2.5
NIST: sp800_53-CM-6b, sp800_53-SI-10(5)
OWASP API: 2019-API7, 2023-API8
OWASP ASVS: 4.0.2-14.4.3, 4.0.2-14.4.7