これらは両方ともクロスフレームスクリプト攻撃ですか?
最近、クロスフレームスクリプティングの脆弱性があると述べたウェブサイトのセキュリティレビューを受け取りました。つまり、悪意のあるサイトがiframeにページをロードし、ユーザーをだましてアプリケーションの正当なページにあると思い込ませながら、コントロールなどをオーバーレイしてデータを収集し、その他の悪意のある活動を行う可能性があると述べました。しかし、XFSは、XSS攻撃が悪意のあるサイトを指すアプリケーションにiframeを挿入するために使用され、フレームにロードされた悪意のあるサイトがアプリケーションやその他の悪意のあるユーザーを使用してデータを収集できるようになることも知っています活動。
では、どちらもiframeを主要な要素として使用しているため、どちらもクロスフレームスクリプティング攻撃ですか?または、最初の攻撃のみがXFSであり、2番目の攻撃はiframeを使用するXSSのバージョンと見なされますか?
追伸XSSとCSRFの両方にタグがありますが、XFSにタグがない理由はありますか?
これは古い質問ですが、将来の視聴者のために回答を追加します。
「クロスフレームスクリプティング」は基本的にデータ漏洩攻撃者が被害者のWebサイトを自分のWebサイト内のフレームに埋め込み、フレーム化されたWebサイトでアクティビティの監視/スパイを行うと発生する可能性があります。攻撃者は、ページ上のすべての主要なイベントをリッスンするJavaScriptリスナーを登録できます。 (バギー)ブラウザーは、フレーム化された犠牲者のWebページからでもキーイベントをリスナーに通知するため、スパイが可能です。したがって、攻撃者は被害者のログインページを自分のWebサイト(iframe内)に埋め込むことができ、したがって無実の被害者のログイン資格情報を取得できます。
一方、「クロスサイトスクリプティング」は、実際にはJavaScriptの強制実行のようなものであり、攻撃者は悪意のあるJavaScriptを挿入/反映し、クライアントのブラウザで実行されます。
XFS防止は、フレームバストまたは追加x-frame-options HTTPヘッダーでは、DENY(ブラウザーにWebサイトをフレーム化しないように通知する)またはsameorigin(同じコンテキストの場合にのみフレーム化する)のいずれかに等しい。ただし、XSS防止は、入力のサニタイズにより関心があります。
そうは言っても、あなたが説明したシナリオでは、最初のケースはXFS攻撃の例ですが、後者はフレームを含むXSS攻撃の例と考えることができます。
脆弱性は、誰かが概念実証または特定のソフトウェアの欠陥を悪用する方法を作成するまで存在しません。
「クロスフレームスクリプティング」は存在せず、恐ろしい名前です。そうは言っても、OWASPには Cross-Frame Scripting のまとまりのないエントリがあります。
フレームには Same-Origin Policyによって付与されるスクリプト権限と保護 があります。親で実行するスクリプトは、別のドメインの子iframeの内容を読み取ることができません。 iframeはXSSの活用に役立ちますが、<form>および<input>タグも同様です。
このツールはおそらく clickjacking を報告しています。これはJavaScriptの有無にかかわらず利用できます。クリックジャッキングを防ぐには、HTTPヘッダー要素 x-frame-options:sameorigin を追加します。不十分に作成されたセキュリティツールが実際に悪用可能かどうかを考慮せずにx-frame-optionsの欠如を脆弱性として報告することは非常に簡単です。
(XSSとCSRFは本物なので、security.seにタグがあります。「XFS」は誤りであり、security.seにこのタグが存在することは決してありません。)