How to demonstrate ClickJacking (Online)

บทนำ (Overview)

เราสามารถตรวจสอบช่องโหว่ “Clickjacking” หรือไม่โดยใช้โปรแกรม “Jack” ตามบทความ (How to demonstrate ClickJacking with Jack) แต่การทดสอบนั้นจะต้องตั้ง Server ขึ้นมาก่อน ในบทความนี้จะนำเสนอเครื่องมือ ที่สามารถตรวจสอบแบบ “Online” ได้ทันทีผ่าน “URL” โดยเครื่องมือที่เตรียมไว้และสามารถตรวจสอบ “Response Message” ที่ส่งกลับมาจาก “Server” ได้ด้วย

ขั้นตอน (Steps)

  1. เข้าไปที่ URL (http://itselectlab.com/tools/tools.aspx?t=xframe)
  2. ทีรายการ Setting เราสามาถตั้งค่า “textbox” ของ “username” และ “password” รวมทั้ง ปุ่มสำหรับหลอก “Clickjacking” ซึ่งสามารถตั้งค่าตำแหน่งและซ่อนได้ clickjackingonline
  3. ให้เราใส่ “URL” เป้าหมายแล้วกดปุ่ม Load…
  4. เราสามารถตรวจสอบ “Response message” ได้เพื่อตรวจสอบว่ามี “Header” หรือการทำ “Frame Busting” หรือไม่ clickjackingonline2
  5. จากตัวอย่างข้างต้นโปแกรมสามารถตรวจจับได้ว่ามีการใช้ “X-FRAME-OPTIONS” เป็นต้น

ใส่ความเห็น