Apache Clickjacking 공격 차단방법

시스템운영/Apache+PHP|2015.09.03 00:30

 

 

 

 

x-frame-options header missing

 

Clickjacking 이란?

Click + Hijacking 의 합성어로 ClickJacking 또는 UI Redress 공격이라 부르기도 함

 

2008년 Robert Hansen, Jeremiah Grossman 이 취약점에 대해 발표

 

 

 

쉽게말하면 사용자가 네이버 홈페이지에서 메일을 클릭했을경우 공격자가 지정한 페이지로 넘어가거나 로그인 폼의 정보 탈취 등

Clickjacking 공격 차단 설정

환경 : OS : Ubuntu, Apache 2

 

1. headers 사용 활성화 

#a2enmod headers

 

 

2. 아파치 설정파일에 밑줄친 부분을 추가 하며 IfModule headers_module 부분이 없다면 아래의 3줄 전체를 추가

#vi apache2.conf

 

<IfModule headers_module>

Header always append X-Frame-Options SAMEORIGIN

</IfModule>

 

 

3. 설정값 확인 apachectl 명령어를 통해 설정값을 확인해 보고 OK로 나오면 서비스 재시작하여도 문제가 없다는 뜻

#apachectl -t

OK

 

 

4. Apache 서비스 재시작 및 적용

#apachectl restart

 

 

X-Frame-Options 설명

 

 DENY : 해당 페이지는 iframe 내에서 호출할 수 없음

SAMEORIGIN : 해당 페이지와 동일한 도메인 페이지안에서는 frame 또는 Iframe을 호출 할 수 있다.

ALLOW-FROM uri : 해당 페이지는 지정된 도메인 페이지에서 frame을 호출 할 수 있다. 

 

 

 

ClickJacking 공격 데모 영상 

 

 


 

 

 

 

 

 

댓글()