Indetectables

Indetectables es una Comunidad de Hacking, Seguridad Informática, Impresión 3d y Desarrollo
./index.php

ClickJacking

https://www.indetectables.net/viewtopic.php?t=30111

Página 1 de 1

ClickJacking

Publicado: 08 Feb 2011, 20:46
por MichBukana
ClickJacking es una tecnología en la cual mediante un iframe abrimos una web quedando como en este ejemplo un boton por debajo de la web verdadera sin embargo el boton se queda inutilizado ya que la web se encuentra por delante, la web de verdad en este caso indetectables pero invisible

fijense cuando llevo el ratón y lo pongo debajo del botón me dice 'Feed - Dudas y Preguntas' es mas fijatense que debajo en la barra de estado me dice que me encuentro en el foro de indetectables
Imagen


pues es basicamente eso engañar a una victima enviadole una web falsa para que cuando le de al botón por ejemplo envie una votacion, es asi como un sustituto de CRSF ya que para hacer este ataque un vector vendría a ser algo como esto:
[Enlace externo eliminado para invitados] donde x puede ser un número aleatorio con lo cual es dificil acertarlo para enviarle esta URL a la victima. Mientras que con ClickJacking el número ese lo tienes asignado correctamente puesto que estas en la web lo que se encuentra de modo invisible

Código: Seleccionar todo

<iframe src="http://www.indetectables.net/foro/index.php" style="opacity:0;position:absolute;top:0px;left:0px;width:99%;height:95%;margin:0px;padding:0px;z-index:100;"></iframe>
otra ventaja es que CRSF con una votacion en ajax por metodo POST es imposible mientras que con ClickJacking ira perfectamente

Desventaja al pasar el raton nos aparece como en este ejemplo 'Feed - Dudas y Preguntas' y al igual que en la barra de estado

Solucion no permitir que se puedan hacer iframe a nuesta web
dentro de <head></head>

Código: Seleccionar todo

<script type="text/javascript">
<!--
if (top.location!=this.location) top.location=this.location;
//-->
</script>
Avira lo detecta como:
HTML/Infected.WebPage.Gen2

Ejemplo del alcanze de este ataque xD
[Enlace externo eliminado para invitados]

Salu2!

Re: ClickJacking

Publicado: 08 Feb 2011, 23:36
por $DoC
muy bueno MichBukana, se nota que te gusta mucho esto de la Auditoria Web jeje, gracias por la expliación compañero! muy útil...

saludos!

Re: ClickJacking

Publicado: 09 Feb 2011, 12:47
por Spectrus
Buenisimo Mich, te lo curraste es la primera vez que lo veo, gracias por la informacion crack.

Re: ClickJacking

Publicado: 09 Feb 2011, 17:22
por MichBukana
gracias a los 3 en cualquier caso D3F4C3-M4N si no estas de acuerdo con algo o ves que falta algo más para explicarlo mejor es tas en tu derecho a añadirlo al post ;)

Salu2!

Re: ClickJacking

Publicado: 08 Mar 2011, 00:29
por DD
Muy interesante compañero, pareciera que me superas en Auditoría Web.. jajaja es mentira.

Re: ClickJacking

Publicado: 31 Mar 2011, 05:53
por Nikos
Hola disculpa que re viva este topic.
Genere un post hace unos dias, y no obtengo respuestas.

Mi Pregunta es sencilla:
A travez del clickjacking es posible ejecutar un troyano? por ejemplo: Entran a una web "x" esa web "x" tiene un boton en el index que dice "Entrar al Foro" pero estaria con clickJacking es posible que cuando le den al boton "Entrar al foro" Ejecute el troyano silenciosamente en su pc y entre al foro como si nada?

Eh visto en el video demostrativo del alcanze que aparece para activar la camara. Es posible lograr eso pero en vez de que se active la camara se instale el troyano?

O tambien puede ser con el JavaFake o el Applet de Java que cunado entre a la web "X" sin que el usuario sepa al darle al boton "Entrar al foro" tambien le este dando al boton Ejecutar del Applet o JavaFake.


Muchas gracias por sus respuestas.
Todos los horarios son UTC+02:00
Página 1 de 1

© Indetectables Team

Desarrollado por Indetectables LAB