click jacking이란 낚시페이지와 진짜 목적인 페이지를 안보이는 페이지 위에 놓고 클릭을 유도하는 방법입니다.
http://www.planb-security.net/notclickjacking/iframetrick.html
여기서 잘 보여주고 있습니다.
좀더 풀어쓰자면 이런겁니다.
원하는 페이지를 안보이게 설정합니다. opacity를 이용하면 되죠.
예를 들면 사진첩의 공개설정 페이지를 안보이게 띄워놓고
이 위에 보이는 페이지를 겹쳐놓습니다.
그리고 게임이라든지, 링크라던지, 사용자의 클릭을 유도하면서
'전체공개' 로 바꾸는 버튼의 위치에 가짜 버튼을 놓으면
사용자는 자기도 모르게 사진첩을 전체공개하게 되죠.
뭐 그런 방식입니다.
물론 브라우저가 원하는 페이지의 인증된 세션을 갖고 있어야겠죠
보면 설정을 바꾸는 위치에 클릭을 유도하죠.
저 반투명한 부분은 일부러 보이게 한거고, 안보입니다.
이걸 취약점이라 해야할까요 사회공학이라 해야할까요? 하하
아이디어 좋네요.
출처 : http://jz.pe.kr/20
