Cross Frame Scripting(XFS) 취약점 OHS(Oracle HTTP Server) 조치 방법

1. 취약점 설명

XFS(크로스 프레임 스크립팅)는 의심하지 않는 사용자의 데이터를 훔치기 위해 합법적인 페이지를 로드하는 iframe과 악성 JavaScript를 결합하는 공격입니다. 이 공격은 일반적으로 사회 공학과 결합될 때만 성공합니다. 예로는 공격자가 사용자가 공격자가 제어하는 ​​웹 페이지로 이동하도록 유도하는 공격자가 있습니다. 그런 다음 공격자의 페이지는 악성 JavaScript와 합법적인 사이트를 가리키는 HTML iframe을 로드합니다. 사용자가 iframe 내의 합법적인 사이트에 자격 증명을 입력하면 악성 JavaScript가 키 입력을 훔칩니다.

2. 조치방법

httpd.conf 파일 내 아래 3가지 중 요구사항에 맞는 설정으로 조치 진행

Header always append X-Frame-Options DENY

Header always append X-Frame-Options SAMEORIGIN

Header always append X-Frame-Options "allow-from https://example.com/"

 

• DENY: "이 홈페이지는 다른 홈페이지에서 표시할 수 않음"
• SAMEORIGIN: "이 홈페이지는 동일한 도메인의 페이지 내에서만 표시할 수 있음"
• ALLOW-FROM origin: "이 홈페이지는 origin 도메인의 페이지에서 표함하는 것을 허용함"

[참고]

https://webhack.dynu.net/?idx=20161117.003&print=friendly 

https://owasp.org/www-community/attacks/Cross_Frame_Scripting