{"id":494,"date":"2009-03-05T08:13:41","date_gmt":"2009-03-05T11:13:41","guid":{"rendered":"https:\/\/www.talsoft-security.com\/site\/?p=494"},"modified":"2009-03-05T08:13:41","modified_gmt":"2009-03-05T11:13:41","slug":"clickjacking-exposed-clickjacking-al-descubierto","status":"publish","type":"post","link":"https:\/\/www.talsoft-security.com\/site\/clickjacking-exposed-clickjacking-al-descubierto\/","title":{"rendered":"Clickjacking exposed (Clickjacking al descubierto)"},"content":{"rendered":"

Hace unos meses, empez\u00c3\u00b3 a sonar un nuevo concepto llamado clickjacking<\/span>. Esta nueva vulnerabilidad se presento en la OWASP AppSec de New York el 24 de Septiembre de 2008, sin llegar a explicar todos los detalles referentes a \u00c3\u00a9sta, dado que exist\u00c3\u00adan productos de Adobe que eran vulnerables y podr\u00c3\u00adan llegar a provocar un gran impacto, y a petici\u00c3\u00b3n de los proveedores se omiti\u00c3\u00b3 cierta informaci\u00c3\u00b3n (S21sec ya inform\u00c3\u00b3 de la aparici\u00c3\u00b3n de esta vulnerabilidad en este post<\/a>).
\nLa vulnerabilidad<\/strong> reside en crear una aplicaci\u00c3\u00b3n web para manipular al usuario y que inconscientemente realice una serie de acciones y clicks donde el usuario malintencionado desee, de esta forma se est\u00c3\u00a1n realizando acciones en nombre del usuario.<\/p>\n

La manipulaci\u00c3\u00b3n, se puede llevar a cabo mediante un simple juego en javascript que indique al usuario que tiene que clicar en diferentes puntos de la pantalla, donde \u00c3\u00a9sta en realidad est\u00c3\u00a1 compuesta por varias capas. Una de las capas es la que en todo momento est\u00c3\u00a1 visualizando que es la maligna y otra de estas, mediante la utilizaci\u00c3\u00b3n de iframes es la capa que recibe los clicks del usuario ya que est\u00c3\u00a1 por encima de la anterior, tal y como se muestra en las siguientes figuras:<\/p>\n

\"\"P\u00c3\u00a1gina que recibir\u00c3\u00ada el ataque:
\n\"\"P\u00c3\u00a1gina creada para realizar el ataque (incluyendo la anterior):<\/p>\n

\n\"\"<\/div>\n
Resultado de superponer las dos p\u00c3\u00a1ginas<\/div>\n
\n\"\"Este problema viene dado por una debilidad el combinar el uso de iframes por parte de HTML y estilos, por lo que esta vulnerabilidad se puede explotar a trav\u00c3\u00a9s de pr\u00c3\u00a1cticamente todos los navegadores (a excepci\u00c3\u00b3n de navegadores que no acepten javascript, como los de modo texto tipo lynx, o si se desactiva javascript en el resto). Adem\u00c3\u00a1s, no es un problema que puedan solucionar mediante un parche, sin\u00c3\u00b3 que es algo m\u00c3\u00a1s complejo, por lo que la soluci\u00c3\u00b3n a este problema, al menos por ahora, est\u00c3\u00a1 en manos de los responsables de las aplicaciones Web que existen en Internet, evitando que \u00c3\u00a9stas, se puedan incluir mediante iframes, por parte de aplicaciones de terceros. En el siguiente enlace <\/a>se encuentra un art\u00c3\u00adculo en el que se trata esta vulnerabilidad en diversos navegadores.<\/p>\n

Recientemente, se ha publicado que esta vulnerabilidad afectaba a la red social www.twitter.com<\/a>. Un usuario cre\u00c3\u00b3 una aplicaci\u00c3\u00b3n, en la que hab\u00c3\u00ada un bot\u00c3\u00b3n donde se pod\u00c3\u00ada ver \u00e2\u20ac\u0153Don\u00e2\u20ac\u2122t click\u00e2\u20ac\u009d (no clicar), as\u00c3\u00ad que la curiosidad de la gente, hac\u00c3\u00ada que clicasen el bot\u00c3\u00b3n, por lo que se hac\u00c3\u00ada una petici\u00c3\u00b3n a twitter en nombre del usuario. Al final twitter le pidi\u00c3\u00b3 que eliminase la aplicaci\u00c3\u00b3n donde los dem\u00c3\u00a1s usuarios clicaban el bot\u00c3\u00b3n.<\/p>\n

Una medida que pueden tomar los usuarios, es la de instalarse el plug-in no-script para Firefox, que en su \u00c3\u00baltima versi\u00c3\u00b3n, ya ha tenido en cuenta esta vulnerabilidad por lo que no permite que este tipo de ataques se llevan a cabo.<\/p>\n

A continuaci\u00c3\u00b3n se muestra un ejemplo de como llevar a su ejecuci\u00c3\u00b3n esta vulnerabilidad, aprovechando para que el usuario descargue el plug-in para Firefox no-script (para facilitar la prueba de concepto no se ha tenido en cuenta temas de estilo, en funci\u00c3\u00b3n de los distintos navegadores, tan solo se han realizado pruebas en Firefox).<\/p>\n

En una pr\u00c3\u00b3xima entrega se expondr\u00c3\u00a1 una prueba de concepto m\u00c3\u00a1s t\u00c3\u00a9cnica para que se pueda entender de una manera m\u00c3\u00a1s clara como afecta la vulnerabilidad.<\/p>\n

Puede seguir leyendo aqu\u00c3\u00ad<\/a> y aqu\u00c3\u00ad<\/a>.<\/p>\n

Autor: Abel Gomez
\nFuente: S21sec Auditor\u00c3\u00ada<\/a> y segu-info.com.ar<\/div>\n

<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

Hace unos meses, empez\u00c3\u00b3 a sonar un nuevo concepto llamado clickjacking. Esta nueva vulnerabilidad se presento en la OWASP AppSec de New York el 24 de Septiembre de 2008, sin llegar a explicar todos los detalles referentes a \u00c3\u00a9sta, dado que exist\u00c3\u00adan productos de Adobe que eran vulnerables y podr\u00c3\u00adan llegar a provocar un gran […]<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[1],"tags":[],"class_list":["post-494","post","type-post","status-publish","format-standard","hentry","category-profesional"],"yoast_head":"\nTalSoft - Seguridad Inform\u00e1tica Empresarial - Clickjacking exposed (Clickjacking al descubierto)<\/title>\n<meta name=\"description\" content=\"Talsoft transforma la visi\u00f3n de las empresas para que puedan proteger su informaci\u00f3n cr\u00edtica y confidencial frente ataques inform\u00e1ticos. Cons\u00faltenos sin cargo.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.talsoft-security.com\/site\/clickjacking-exposed-clickjacking-al-descubierto\/\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Leandro Ferrari\" \/>\n\t<meta name=\"twitter:label2\" content=\"Estimated reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"3 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/www.talsoft-security.com\/site\/clickjacking-exposed-clickjacking-al-descubierto\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/www.talsoft-security.com\/site\/clickjacking-exposed-clickjacking-al-descubierto\/\"},\"author\":{\"name\":\"Leandro Ferrari\",\"@id\":\"https:\/\/www.talsoft-security.com\/site\/#\/schema\/person\/83d2ebde035a5a030c14e522351953c8\"},\"headline\":\"Clickjacking exposed (Clickjacking al descubierto)\",\"datePublished\":\"2009-03-05T11:13:41+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/www.talsoft-security.com\/site\/clickjacking-exposed-clickjacking-al-descubierto\/\"},\"wordCount\":614,\"publisher\":{\"@id\":\"https:\/\/www.talsoft-security.com\/site\/#organization\"},\"image\":{\"@id\":\"https:\/\/www.talsoft-security.com\/site\/clickjacking-exposed-clickjacking-al-descubierto\/#primaryimage\"},\"thumbnailUrl\":\"http:\/\/2.bp.blogspot.com\/_BWhesX7sZpM\/SaUajghIawI\/AAAAAAAAAAw\/kIwCW8TzIpw\/s320\/click2.png\",\"articleSection\":[\"Profesional\"],\"inLanguage\":\"en-GB\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.talsoft-security.com\/site\/clickjacking-exposed-clickjacking-al-descubierto\/\",\"url\":\"https:\/\/www.talsoft-security.com\/site\/clickjacking-exposed-clickjacking-al-descubierto\/\",\"name\":\"TalSoft - Seguridad Inform\u00e1tica Empresarial - Clickjacking exposed (Clickjacking al descubierto)\",\"isPartOf\":{\"@id\":\"https:\/\/www.talsoft-security.com\/site\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.talsoft-security.com\/site\/clickjacking-exposed-clickjacking-al-descubierto\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/www.talsoft-security.com\/site\/clickjacking-exposed-clickjacking-al-descubierto\/#primaryimage\"},\"thumbnailUrl\":\"http:\/\/2.bp.blogspot.com\/_BWhesX7sZpM\/SaUajghIawI\/AAAAAAAAAAw\/kIwCW8TzIpw\/s320\/click2.png\",\"datePublished\":\"2009-03-05T11:13:41+00:00\",\"description\":\"Talsoft transforma la visi\u00f3n de las empresas para que puedan proteger su informaci\u00f3n cr\u00edtica y confidencial frente ataques inform\u00e1ticos. Cons\u00faltenos sin cargo.\",\"inLanguage\":\"en-GB\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.talsoft-security.com\/site\/clickjacking-exposed-clickjacking-al-descubierto\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"en-GB\",\"@id\":\"https:\/\/www.talsoft-security.com\/site\/clickjacking-exposed-clickjacking-al-descubierto\/#primaryimage\",\"url\":\"http:\/\/2.bp.blogspot.com\/_BWhesX7sZpM\/SaUajghIawI\/AAAAAAAAAAw\/kIwCW8TzIpw\/s320\/click2.png\",\"contentUrl\":\"http:\/\/2.bp.blogspot.com\/_BWhesX7sZpM\/SaUajghIawI\/AAAAAAAAAAw\/kIwCW8TzIpw\/s320\/click2.png\"},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.talsoft-security.com\/site\/#website\",\"url\":\"https:\/\/www.talsoft-security.com\/site\/\",\"name\":\"TalSoft TS - Services IT Security\",\"description\":\"Talsoft is transforming awareness, control and decision-making power so that companies can protect their critical and confidential information from computer attacks.\",\"publisher\":{\"@id\":\"https:\/\/www.talsoft-security.com\/site\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.talsoft-security.com\/site\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"en-GB\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/www.talsoft-security.com\/site\/#organization\",\"name\":\"Talsoft TS\",\"url\":\"https:\/\/www.talsoft-security.com\/site\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-GB\",\"@id\":\"https:\/\/www.talsoft-security.com\/site\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/www.talsoft-security.com\/site\/wp-content\/uploads\/2014\/02\/talsoft_logo_270x125.png\",\"contentUrl\":\"https:\/\/www.talsoft-security.com\/site\/wp-content\/uploads\/2014\/02\/talsoft_logo_270x125.png\",\"width\":270,\"height\":125,\"caption\":\"Talsoft TS\"},\"image\":{\"@id\":\"https:\/\/www.talsoft-security.com\/site\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"http:\/\/www.facebook.com\/talsoftsrl\",\"https:\/\/x.com\/talsoft\"]},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.talsoft-security.com\/site\/#\/schema\/person\/83d2ebde035a5a030c14e522351953c8\",\"name\":\"Leandro Ferrari\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-GB\",\"@id\":\"https:\/\/www.talsoft-security.com\/site\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/cd259c10675b9fd302b2e6264231febeeeb3de578400cf8c91c6577e50a0d34a?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/cd259c10675b9fd302b2e6264231febeeeb3de578400cf8c91c6577e50a0d34a?s=96&d=mm&r=g\",\"caption\":\"Leandro Ferrari\"},\"sameAs\":[\"http:\/\/www.talsoft.com.ar\",\"https:\/\/www.facebook.com\/talsoftsrl\/\",\"https:\/\/x.com\/avatar_leandro\"],\"url\":\"https:\/\/www.talsoft-security.com\/site\/author\/leandro\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"TalSoft - Seguridad Inform\u00e1tica Empresarial - Clickjacking exposed (Clickjacking al descubierto)","description":"Talsoft transforma la visi\u00f3n de las empresas para que puedan proteger su informaci\u00f3n cr\u00edtica y confidencial frente ataques inform\u00e1ticos. Cons\u00faltenos sin cargo.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.talsoft-security.com\/site\/clickjacking-exposed-clickjacking-al-descubierto\/","twitter_misc":{"Written by":"Leandro Ferrari","Estimated reading time":"3 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.talsoft-security.com\/site\/clickjacking-exposed-clickjacking-al-descubierto\/#article","isPartOf":{"@id":"https:\/\/www.talsoft-security.com\/site\/clickjacking-exposed-clickjacking-al-descubierto\/"},"author":{"name":"Leandro Ferrari","@id":"https:\/\/www.talsoft-security.com\/site\/#\/schema\/person\/83d2ebde035a5a030c14e522351953c8"},"headline":"Clickjacking exposed (Clickjacking al descubierto)","datePublished":"2009-03-05T11:13:41+00:00","mainEntityOfPage":{"@id":"https:\/\/www.talsoft-security.com\/site\/clickjacking-exposed-clickjacking-al-descubierto\/"},"wordCount":614,"publisher":{"@id":"https:\/\/www.talsoft-security.com\/site\/#organization"},"image":{"@id":"https:\/\/www.talsoft-security.com\/site\/clickjacking-exposed-clickjacking-al-descubierto\/#primaryimage"},"thumbnailUrl":"http:\/\/2.bp.blogspot.com\/_BWhesX7sZpM\/SaUajghIawI\/AAAAAAAAAAw\/kIwCW8TzIpw\/s320\/click2.png","articleSection":["Profesional"],"inLanguage":"en-GB"},{"@type":"WebPage","@id":"https:\/\/www.talsoft-security.com\/site\/clickjacking-exposed-clickjacking-al-descubierto\/","url":"https:\/\/www.talsoft-security.com\/site\/clickjacking-exposed-clickjacking-al-descubierto\/","name":"TalSoft - Seguridad Inform\u00e1tica Empresarial - Clickjacking exposed (Clickjacking al descubierto)","isPartOf":{"@id":"https:\/\/www.talsoft-security.com\/site\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.talsoft-security.com\/site\/clickjacking-exposed-clickjacking-al-descubierto\/#primaryimage"},"image":{"@id":"https:\/\/www.talsoft-security.com\/site\/clickjacking-exposed-clickjacking-al-descubierto\/#primaryimage"},"thumbnailUrl":"http:\/\/2.bp.blogspot.com\/_BWhesX7sZpM\/SaUajghIawI\/AAAAAAAAAAw\/kIwCW8TzIpw\/s320\/click2.png","datePublished":"2009-03-05T11:13:41+00:00","description":"Talsoft transforma la visi\u00f3n de las empresas para que puedan proteger su informaci\u00f3n cr\u00edtica y confidencial frente ataques inform\u00e1ticos. Cons\u00faltenos sin cargo.","inLanguage":"en-GB","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.talsoft-security.com\/site\/clickjacking-exposed-clickjacking-al-descubierto\/"]}]},{"@type":"ImageObject","inLanguage":"en-GB","@id":"https:\/\/www.talsoft-security.com\/site\/clickjacking-exposed-clickjacking-al-descubierto\/#primaryimage","url":"http:\/\/2.bp.blogspot.com\/_BWhesX7sZpM\/SaUajghIawI\/AAAAAAAAAAw\/kIwCW8TzIpw\/s320\/click2.png","contentUrl":"http:\/\/2.bp.blogspot.com\/_BWhesX7sZpM\/SaUajghIawI\/AAAAAAAAAAw\/kIwCW8TzIpw\/s320\/click2.png"},{"@type":"WebSite","@id":"https:\/\/www.talsoft-security.com\/site\/#website","url":"https:\/\/www.talsoft-security.com\/site\/","name":"TalSoft TS - Services IT Security","description":"Talsoft is transforming awareness, control and decision-making power so that companies can protect their critical and confidential information from computer attacks.","publisher":{"@id":"https:\/\/www.talsoft-security.com\/site\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.talsoft-security.com\/site\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"en-GB"},{"@type":"Organization","@id":"https:\/\/www.talsoft-security.com\/site\/#organization","name":"Talsoft TS","url":"https:\/\/www.talsoft-security.com\/site\/","logo":{"@type":"ImageObject","inLanguage":"en-GB","@id":"https:\/\/www.talsoft-security.com\/site\/#\/schema\/logo\/image\/","url":"https:\/\/www.talsoft-security.com\/site\/wp-content\/uploads\/2014\/02\/talsoft_logo_270x125.png","contentUrl":"https:\/\/www.talsoft-security.com\/site\/wp-content\/uploads\/2014\/02\/talsoft_logo_270x125.png","width":270,"height":125,"caption":"Talsoft TS"},"image":{"@id":"https:\/\/www.talsoft-security.com\/site\/#\/schema\/logo\/image\/"},"sameAs":["http:\/\/www.facebook.com\/talsoftsrl","https:\/\/x.com\/talsoft"]},{"@type":"Person","@id":"https:\/\/www.talsoft-security.com\/site\/#\/schema\/person\/83d2ebde035a5a030c14e522351953c8","name":"Leandro Ferrari","image":{"@type":"ImageObject","inLanguage":"en-GB","@id":"https:\/\/www.talsoft-security.com\/site\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/cd259c10675b9fd302b2e6264231febeeeb3de578400cf8c91c6577e50a0d34a?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/cd259c10675b9fd302b2e6264231febeeeb3de578400cf8c91c6577e50a0d34a?s=96&d=mm&r=g","caption":"Leandro Ferrari"},"sameAs":["http:\/\/www.talsoft.com.ar","https:\/\/www.facebook.com\/talsoftsrl\/","https:\/\/x.com\/avatar_leandro"],"url":"https:\/\/www.talsoft-security.com\/site\/author\/leandro\/"}]}},"_links":{"self":[{"href":"https:\/\/www.talsoft-security.com\/site\/wp-json\/wp\/v2\/posts\/494","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.talsoft-security.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.talsoft-security.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.talsoft-security.com\/site\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.talsoft-security.com\/site\/wp-json\/wp\/v2\/comments?post=494"}],"version-history":[{"count":2,"href":"https:\/\/www.talsoft-security.com\/site\/wp-json\/wp\/v2\/posts\/494\/revisions"}],"predecessor-version":[{"id":496,"href":"https:\/\/www.talsoft-security.com\/site\/wp-json\/wp\/v2\/posts\/494\/revisions\/496"}],"wp:attachment":[{"href":"https:\/\/www.talsoft-security.com\/site\/wp-json\/wp\/v2\/media?parent=494"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.talsoft-security.com\/site\/wp-json\/wp\/v2\/categories?post=494"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.talsoft-security.com\/site\/wp-json\/wp\/v2\/tags?post=494"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}