Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Ejemplos
Por ejemplo, imagine a un atacante que construye un sitio web que tiene un botón que dice
"haga clic aquí para obtener un iPod gratis". Sin embargo, en la parte superior de esa
página web, el atacante ha cargado un iframe con su cuenta de correo y ha alineado
exactamente el botón "eliminar todos los mensajes" directamente sobre el botón "iPod
gratis". La víctima intenta hacer clic en el botón "iPod gratis", pero en realidad hace clic en
el botón invisible "borrar todos los mensajes". En esencia, el atacante ha "secuestrado" el
clic del usuario, de ahí el nombre "Clickjacking".
Uno de los ejemplos más notorios de Clickjacking fue un ataque contra la página de
configuración del complemento Adobe Flash . Al cargar esta página en un iframe invisible,
un atacante podría engañar a un usuario para que modifique la configuración de seguridad
de Flash, dando permiso para que cualquier animación de Flash utilice el micrófono y la
cámara de la computadora.
Clickjacking también hizo las noticias en forma de un gusano de Twitter . Este ataque de
clickjacking convenció a los usuarios a hacer clic en un botón que hizo que volvieran a
twittear la ubicación de la página maliciosa, y se propagó masivamente.
También ha habido ataques de clickjacking que abusan de la funcionalidad "Me gusta" de
Facebook. Los atacantes pueden engañar a los usuarios registrados de Facebook para
que arbitrariamente les gusten páginas de fans, enlaces, grupos, etc.
Referencias
¿Por qué estoy ansioso por Clickjacking?
Una comprensión básica del ataque de clickjacking
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-
Policy/frame-ancestors
Recurso de desarrollador de Mozilla en el encabezado de respuesta de
antepasados de marco de Política de seguridad de contenido.
https://developer.mozilla.org/en-US/docs/The_X-FRAME-
OPTIONS_response_header
Recurso de desarrollador de Mozilla en el encabezado de respuesta de X-Frame-
Options.
https://www.codemagi.com/blog/post/194
La nueva defensa de marcos para los navegadores antiguos que no son
compatibles con los encabezados X-Frame-Option.