Mostrar mensajes previos
Ordenar por
por MichBukana Esquizofrénico
ClickJacking es una tecnología en la cual mediante un iframe abrimos una web quedando como en este ejemplo un boton por debajo de la web verdadera sin embargo el boton se queda inutilizado ya que la web se encuentra por delante, la web de verdad en este caso indetectables pero invisible

fijense cuando llevo el ratón y lo pongo debajo del botón me dice 'Feed - Dudas y Preguntas' es mas fijatense que debajo en la barra de estado me dice que me encuentro en el foro de indetectables
Imagen


pues es basicamente eso engañar a una victima enviadole una web falsa para que cuando le de al botón por ejemplo envie una votacion, es asi como un sustituto de CRSF ya que para hacer este ataque un vector vendría a ser algo como esto:
[Enlace externo eliminado para invitados] donde x puede ser un número aleatorio con lo cual es dificil acertarlo para enviarle esta URL a la victima. Mientras que con ClickJacking el número ese lo tienes asignado correctamente puesto que estas en la web lo que se encuentra de modo invisible

Código: Seleccionar todo

<iframe src="http://www.indetectables.net/foro/index.php" style="opacity:0;position:absolute;top:0px;left:0px;width:99%;height:95%;margin:0px;padding:0px;z-index:100;"></iframe>
otra ventaja es que CRSF con una votacion en ajax por metodo POST es imposible mientras que con ClickJacking ira perfectamente

Desventaja al pasar el raton nos aparece como en este ejemplo 'Feed - Dudas y Preguntas' y al igual que en la barra de estado

Solucion no permitir que se puedan hacer iframe a nuesta web
dentro de <head></head>

Código: Seleccionar todo

<script type="text/javascript">
<!--
if (top.location!=this.location) top.location=this.location;
//-->
</script>
Avira lo detecta como:
HTML/Infected.WebPage.Gen2

Ejemplo del alcanze de este ataque xD
[Enlace externo eliminado para invitados]

Salu2!
Imagen

(cuanto más sabes, más cuenta te das de lo poco que sabes).

Mostrar/Ocultar

por $DoC Administrador
muy bueno MichBukana, se nota que te gusta mucho esto de la Auditoria Web jeje, gracias por la expliación compañero! muy útil...

saludos!
Soy un camaleón, en tu cama, leona ♪
por MichBukana Esquizofrénico
gracias a los 3 en cualquier caso D3F4C3-M4N si no estas de acuerdo con algo o ves que falta algo más para explicarlo mejor es tas en tu derecho a añadirlo al post ;)

Salu2!
Imagen

(cuanto más sabes, más cuenta te das de lo poco que sabes).

Mostrar/Ocultar

por DD Se medica
Muy interesante compañero, pareciera que me superas en Auditoría Web.. jajaja es mentira.
Noticia: 51mpl3x dice que si fuera chica, se casaría conmigo. (1/Agosto/2011 at 5:52 pm)
Esperandote verte diciendo que eres gay no seas malito y pasate unas fotos ¿si?
por Nikos Delirios esporádicos
Hola disculpa que re viva este topic.
Genere un post hace unos dias, y no obtengo respuestas.

Mi Pregunta es sencilla:
A travez del clickjacking es posible ejecutar un troyano? por ejemplo: Entran a una web "x" esa web "x" tiene un boton en el index que dice "Entrar al Foro" pero estaria con clickJacking es posible que cuando le den al boton "Entrar al foro" Ejecute el troyano silenciosamente en su pc y entre al foro como si nada?

Eh visto en el video demostrativo del alcanze que aparece para activar la camara. Es posible lograr eso pero en vez de que se active la camara se instale el troyano?

O tambien puede ser con el JavaFake o el Applet de Java que cunado entre a la web "X" sin que el usuario sepa al darle al boton "Entrar al foro" tambien le este dando al boton Ejecutar del Applet o JavaFake.


Muchas gracias por sus respuestas.
Imagen
Temas similares
Clickjacking в policies.google.com por xrahitel en Manuales y Tutoriales
Links sobre el tema
Variantes de tema
Responder

Volver a “Auditoria Web”