Introducción
Clickjacking, también conocido como "ataque de compensación de UI", es cuando un atacante usa varias capas transparentes u opacas para engañar a un usuario para que haga click en un botón o enlace en otra página cuando intenta hacer click en la página del nivel superior. Por lo tanto, el atacante está "secuestrando" los clicks destinados a su página y enrutando a otra página, muy probablemente propiedad de otra aplicación, dominio o ambos.
Por ejemplo, imagina a un atacante que crea un sitio web que tiene un botón que dice "haz clic aquí para obtener un iPod gratis". Sin embargo, además de esa página web, el atacante cargó un iframe con su cuenta de correo y alineó exactamente el botón "eliminar todos los mensajes" directamente en la parte superior del botón "iPod gratis". La víctima intenta hacer clic en el botón "iPod gratis", pero en realidad hace click en el botón invisible "eliminar todos los mensajes". En esencia, el atacante ha "secuestrado" el clic del usuario, de ahí el nombre "Clickjacking".
Ejemplo de Clickjacking
Usando una técnica similar, las pulsaciones de teclas también pueden ser secuestradas. Con una combinación cuidadosamente elaborada de hojas de estilo, iframes y cuadros de texto, se puede hacer creer a un usuario que está escribiendo la contraseña en su correo electrónico o cuenta bancaria, pero en cambio está escribiendo en un marco invisible controlado por el atacante.
Ejemplo de Clickjacking
Ejemplos
Por ejemplo, imagina a un atacante que crea un sitio web que tiene un botón que dice "haz clic aquí para obtener un iPod gratis". Sin embargo, además de esa página web, el atacante cargó un iframe con su cuenta de correo y alineó exactamente el botón "eliminar todos los mensajes" directamente en la parte superior del botón "iPod gratis". La víctima intenta hacer clic en el botón "iPod gratis", pero en realidad hace click en el botón invisible "eliminar todos los mensajes". En esencia, el atacante ha "secuestrado" el clic del usuario, de ahí el nombre "Clickjacking".
Ejemplo de Clickjacking
Uno de los ejemplos más notorios de Clickjacking fue un ataque contra la página de configuración de complementos de Adobe Flash. Al cargar esta página en un iframe invisible, un atacante podría engañar a un usuario para que altere la configuración de seguridad de Flash, dando permiso para que cualquier animación de Flash utilice el micrófono y la cámara de la computadora.
Clickjacking también apareció en forma de gusano de Twitter. Este ataque de clickjacking convenció a los usuarios a hacer clic en un botón que les hizo volver a twittear la ubicación de la página maliciosa y propagar masivamente.
Twitter Clickjacking bomb
También ha habido ataques de clickjacking que abusan de la funcionalidad "Me gusta" de Facebook. Los atacantes pueden engañar a los usuarios de Facebook que han iniciado sesión para que les gusten arbitrariamente las páginas de fans, enlaces, grupos, etc.
Clickjacking abusando de los linkes de fb
Defendiendo contra Clickjacking
Hay dos formas principales de evitar el clickjacking:
Enviar los encabezados de respuesta de directivas de marco de ancestros de política de seguridad de contenido (CSP) adecuados que indican al navegador que no permita el encuadre desde otros dominios. (Esto reemplaza a los encabezados HTTP anteriores de X-Frame-Options).
Emplear código defensivo en la interfaz de usuario para garantizar que el marco actual sea la ventana de mayor nivel.
0 Comentarios