Web應用安全之點擊劫持（CLICKJACKING）與X-FRAME-OPTIONS HEADER

點擊劫持（clickjacking）與X-Frame-Options Header

文/玄魂

 

         目錄

 

 

 

前言... 

 

1.1 點擊劫持（clickjacking attacks）... 

 

1.2  Frame Bursters. 

 

1.3 The X-Frame-Options. 

 

1.3.1 X-Frame-Options. 

 

1.3.2 Apache配置X-Frame-Options. 

 

1.3.3 Nginx 配置X-Frame-Options. 

 

1.3.4 IIS配置X-Frame-Options. 

 

1.4 瀏覽器兼容性... 

 

前言

本文整理改編自以下文章：

http://www.troyhunt.com/2013/05/clickjack-attack-hidden-threat-right-in.html

https://developer.mozilla.org/en-US/docs/HTTP/X-Frame-Options

歡迎訪問 玄魂的博客

“Clickjacking（點擊劫持）是由互聯網安全專家羅伯特·漢森和耶利米·格勞斯曼在2008年提出的。

是一種視覺欺騙手段，在web端就是iframe嵌套一個透明不可見的頁面，讓用戶在不知情的情況下，點擊攻擊者想要欺騙用戶點擊的位置。”

假設你訪問一個web站點並看到如下的頁面：

免費的午餐誰都喜歡，當你滿懷期待的點擊按鈕“WIN”的時候，恭喜你，你已經被點擊劫持了。你實際點擊的鏈接如下：

這是登錄網上銀行之后的一個轉賬鏈接，轉移你的全部資產給Kim Dotcom先生。但是你根本你沒有看到這個頁面，像做夢一樣。這只是一個簡單的示例，實現上在網上銀行轉賬不會這么簡單，但是卻告訴我們一個道理，訪問網頁和看魔術表演一樣，看到的不一定都是真的。

下面我們具體討論下點擊劫持的內部機制，和防御措施。

1.1點擊劫持（clickjacking attacks）

點擊劫持的表象一般是用戶點擊了頁面的A元素，但是實際上接收點擊事件的卻是另外一個元素。

現在改變下頁面內個元素的透明度，再來看下剛才的頁面。

我們可以看到，在ipad頁面是上部還有個層，實際上是一個iframe，現在的透明度為50%，實際的頁面中它的透明度為0%，雖然被隱藏不可見，但是隨時都可以被激活。

在 Firefox的3D視圖下，觀察這個頁面更明顯。

被隱藏的iframe在IPAD頁面的上部，同時轉款的鏈接正好在“WIN”的上方，因為設置了透明度，用戶只能看到“WIN”，但實際點擊的是轉款。

攻擊者的頁面內容可能是這樣的：

<div style="position: absolute; left: 10px; top: 10px;">Hey - we're giving away iPad minis!!! Just click the WIN button and it's yours!!!</div>

<div style="position: absolute; left: 200px; top: 50px;">

  <img src="http://images.apple.com/my/ipad-mini/overview/images/hero.jpg" width="250">
</div>

<div style="position: absolute; left: 10px; top: 101px; color: red; font-weight: bold;">>> WIN <<</div>

<iframe style="opacity: 0;" height="545" width="680" scrolling="no" src="http://mybank/Transfer.aspx"></iframe>

代碼就是這么簡單，下面我們觀察一下點擊“WIN”時實際上點擊“轉款”鏈接時的http請求信息。

從圖中標記的地方，可以看到請求的實際地址和身份驗證的cookie信息。當然這樣的攻擊能成功，在於用戶已經登錄的網上銀行。這樣的攻擊行為和跨站請求偽造很類似。

下面我們討論下針對點擊劫持的基本防御方法。

1.2  Frame Bursters

這是在頁面上通過腳本來防止點擊劫持或者iframe惡意請求的方式，本文不做介紹，詳見http://seclab.stanford.edu/websec/framebusting/framebust.pdf，烏雲有篇類似的中文文章共參考http://drops.wooyun.org/papers/104。

1.3 The X-Frame-Options

X-Frame-Options HTTP 響應頭，可以指示瀏覽器是否應該加載一個iframe中的頁面。網站可以通過設置X-Frame-Options阻止站點內的頁面被其他頁面嵌入從而防止點擊劫持。

1.3.1 X-Frame-Options

X-Frame-Options共有三個值：

DENY

任何頁面都不能被嵌入到iframe或者frame中。

SAMEORIGIN

頁面只能被本站頁面嵌入到iframe或者frame中。

ALLOW-FROM uri

頁面自能被指定的Uri嵌入到iframe或frame中。

1.3.2 Apache配置X-Frame-Options

在站點配置文件httpd.conf中添加如下配置，限制只有站點內的頁面才可以嵌入iframe。

Header always append X-Frame-Options SAMEORIGIN

配置之后重啟apache使其生效。該配置方式對IBM HTTP Server同樣適用。

如果同一apache服務器上有多個站點，只想針對一個站點進行配置，可以修改.htaccess文件，添加如下內容：

Header append X-FRAME-OPTIONS "SAMEORIGIN"

1.3.3 Nginx 配置X-Frame-Options

到 nginx/conf文件夾下，修改nginx.conf ，添加如下內容：

add_header X-Frame-Options "SAMEORIGIN";

重啟Nginx服務。

1.3.4 IIS配置X-Frame-Options

在web站點的web.config中配置：

<system.webServer>

  ...

  <httpProtocol>

    <customHeaders>

      <add name="X-Frame-Options" value="SAMEORIGIN" />

    </customHeaders>

  </httpProtocol>

  ...

</system.webServer>

1.4 瀏覽器兼容性

桌面瀏覽器：