Il mio verdetto
Non si può avere il clickjacking sulle pagine statiche come vulnerabilità valida o pertinente, non mi farebbe comunque male saltare quelle intestazioni intenzionalmente su pagine statiche come quella degli allegati a meno che non si tratti di un endpoint API.
Consigli professionali
Si, si, è il falso positivo e l'unica ragione per cui ti consiglia di andare per programmi di taglie bug per la tua azienda e sconsigliato di far funzionare lo scanner automatico, nemmeno netsparker che costa qualche migliaio di dollari. Se hai scelto quest'ultima opzione, insegna a te stesso le competenze di base per capire che cosa è un falso positivo e che questi scanner hanno una precisione molto inferiore rispetto alle tecniche di test manuali.
No, non è una vulnerabilità . Il clickjacking per gli standard del settore del giorno richiede che un utente malintenzionato sia in grado di sfruttarlo dal punto di vista della possibilità di costringere l'utente a eseguire un'azione che cambia lo stato nel contesto dell'utente. Giudicare il fatto dall'università di Google BugHunter che afferma che il clickjacking che può avere un impatto sullo stato degli utenti sull'account dell'utente è idoneo solo per il loro VRP.
Che cos'è uno scenario di attacco valido come rigorosamente in termini tecnici?
Quindi diciamo che l'attaccante può rendere il frame nascosto sotto un pulsante, ora fa clic su quel pulsante su un utente inconsapevole e questo porta all'utente a cancellare tutti i suoi dati e account. Allora sì, è un vettore di attacco valido ed è di priorità P4 per un ingegnere della sicurezza medio come me.
Ulteriori chiarimenti
Chiediti ancora, può essere utilizzato per il phishing da un utente malintenzionato o può realizzare qualcosa di utile incorporando un allegato all'interno di un frame o iframe, può registrare le sequenze di tasti dell'utente vittima con l'aiuto di incorporare l'allegato in un iframe ? Beh, la semplice risposta è no , non.
Inoltre, puoi leggere il mio articolo link su DZone che è stato distribuito a migliaia di sviluppatori tramite digest settimanale. Deve essere una buona lettura per te, basta ignorare i refusi fatti dal loro team editoriale.