บทนำ (Overview)
เราสามารถตรวจสอบช่องโหว่ “Clickjacking” หรือไม่โดยใช้โปรแกรม “Jack” ตามบทความ (How to demonstrate ClickJacking with Jack) แต่การทดสอบนั้นจะต้องตั้ง Server ขึ้นมาก่อน ในบทความนี้จะนำเสนอเครื่องมือ ที่สามารถตรวจสอบแบบ “Online” ได้ทันทีผ่าน “URL” โดยเครื่องมือที่เตรียมไว้และสามารถตรวจสอบ “Response Message” ที่ส่งกลับมาจาก “Server” ได้ด้วย
ขั้นตอน (Steps)
- เข้าไปที่ URL (http://itselectlab.com/tools/tools.aspx?t=xframe)
- ทีรายการ Setting เราสามาถตั้งค่า “textbox” ของ “username” และ “password” รวมทั้ง ปุ่มสำหรับหลอก “Clickjacking” ซึ่งสามารถตั้งค่าตำแหน่งและซ่อนได้
- ให้เราใส่ “URL” เป้าหมายแล้วกดปุ่ม Load…
- เราสามารถตรวจสอบ “Response message” ได้เพื่อตรวจสอบว่ามี “Header” หรือการทำ “Frame Busting” หรือไม่
- จากตัวอย่างข้างต้นโปแกรมสามารถตรวจจับได้ว่ามีการใช้ “X-FRAME-OPTIONS” เป็นต้น
