Que si vamos por buen camino, claro que si...... :-)
Bueno bueno, chavales, vuelvo al ataque con un tema que esta dando mucho de que hablar, si señores como el tema de este post lo dice hoy hablaremos acerca del clickjacking:
ese extraño y misterioso término que no para de aparecer por la blogosfera y las páginas de noticias…
Y es que en seguridad informática, todos los días suceden cosas graves, pero algunas, saltan a los medios populares, se convierten en “noticia” y perciben cierto protagonismo, como si otros problemas de seguridad, no fuesen igual de recientes y graves…pero vaya, esto es como cuando un caso de asesinato salta a la prensa amarillista: lo mismo.
El clickjacking no es un agujero de seguridad en si mismo, es una forma de darle la vuelta a las tecnologías que utilizamos hoy en día, para engañar al usuario y hacerle creer que ciertas cosas, son lo que realmente no son.
Este ataque consiste en cargar una página web externa dentro de un iframe invisible (con opacidad 0, por ejemplo) y poner debajo del iframe invisible (con menor z-index), elementos xhtml para que el usuario haga click, pero que realmente, tienen el iframe invisible encima, y es quien recibirá el click.
Dicho de otra forma, imaginemos un cristal (opacidad 0) con algo debajo, intentamos tocar con el dedo lo que hay debajo, pero tocamos el cristal, esto es lo mismo que sucede cuando ponemos un iframe con opacidad 0 (invisible) encima de ciertos elementos de nuestra web: el usuario irá a hacer click en nuestros elementos, pero hará click dentro del iframe.
Ahora imaginemos que cargamos en el iframe una página de noticias, como meneame, fresqui, o digg, lo volvemos transparente, y debajo metemos un botón que diga: haz click aquí, posicionándolo justo exactamente debajo de donde aparece el botón para votar a la noticia, dentro de la página de noticias.
Cuando el usuario haga click en nuestro botón, que está debajo del iframe transparente, justo donde está el botón para votar de la web de noticias que hay cargada dentro del iframe, hará click en el botón votar de la pagina que hay dentro del iframe.
Creo que lo mejor para acabar de entenderlo es una imagen:
Tambien les dejo un video de ejemplo para que entiendan mejor de que se trata esta vulnerabilidad que tanto revuelo a causado
1 comentarios:
no manches a mi me paso algo parecido navegando por la web encontre un enlace en una pagina que por cierto era del metroflog, como saben los que han navegado por los metro flog`s te dan una opcion donde pones links de enlace, asi que me llamo la atención uno que decia super video de no se que, el chiste que le di clic y me aparecio una ventana, salian unos weyes haciendo sus cochinadas, eso era lo de menos sino que el problema era cerrarlo, cuando le daba clic en cerrar me aparecia una ventana que decia, dale otra ves, cada ves que le dava clic me volvia a decir vuelve a intentarlo, asi que puta madre como lo cierro jajaja, y yo con un chingo de clientes en mi cibert jajaja que problema lo peor esque no podia ni minimizarlo mis click no surgian efecto y ademas los contaba, parece que es algo parecido a eso porfin despues de una hora de lucha con los clic presiones alt gr+ control+ inicio y finalice la tarea sique si pero creo que es algo parecido.
Publicar un comentario