Scribd Logo
Carica

Benvenuto in Scribd!

  • Click Jacking

    Caricato da

    yusy
    58 visualizzazioni2 pagine
    Que es Jacking

    Copyright

    © © All Rights Reserved

    Formati disponibili

    DOCX, PDF, TXT o leggi online da Scribd

    Hai trovato utile questo documento?

    Questo contenuto è inappropriato?

    Segnala questo documento
    Que es Jacking

    Copyright:

    © All Rights Reserved
    Scarica in formato DOCX, PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    58 visualizzazioni2 pagine

    Click Jacking

    Caricato da

    yusy
    Que es Jacking

    Copyright:

    © All Rights Reserved
    Scarica in formato DOCX, PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    di 2

    Clickjacking

    Clickjacking, también conocido como "ataque de reparación de la interfaz de usuario", es


    cuando un atacante usa varias capas transparentes u opacas para engañar a un usuario
    para que haga clic en un botón o enlace en otra página cuando intentaba hacer clic en la
    página de nivel superior. Por lo tanto, el atacante está "secuestrando" los clics destinados
    a su página y enrutándolos a otra página, probablemente propiedad de otra aplicación,
    dominio o ambos.
    Usando una técnica similar, las pulsaciones de teclas también pueden ser
    secuestradas. Con una combinación cuidadosamente diseñada de hojas de estilo, iframes
    y cuadros de texto, se puede hacer creer a un usuario que está escribiendo la contraseña
    en su correo electrónico o cuenta bancaria, pero en lugar de eso está escribiendo en un
    marco invisible controlado por el atacante.

    Ejemplos
    Por ejemplo, imagine a un atacante que construye un sitio web que tiene un botón que dice
    "haga clic aquí para obtener un iPod gratis". Sin embargo, en la parte superior de esa
    página web, el atacante ha cargado un iframe con su cuenta de correo y ha alineado
    exactamente el botón "eliminar todos los mensajes" directamente sobre el botón "iPod
    gratis". La víctima intenta hacer clic en el botón "iPod gratis", pero en realidad hace clic en
    el botón invisible "borrar todos los mensajes". En esencia, el atacante ha "secuestrado" el
    clic del usuario, de ahí el nombre "Clickjacking".
    Uno de los ejemplos más notorios de Clickjacking fue un ataque contra la página de
    configuración del complemento Adobe Flash . Al cargar esta página en un iframe invisible,
    un atacante podría engañar a un usuario para que modifique la configuración de seguridad
    de Flash, dando permiso para que cualquier animación de Flash utilice el micrófono y la
    cámara de la computadora.
    Clickjacking también hizo las noticias en forma de un gusano de Twitter . Este ataque de
    clickjacking convenció a los usuarios a hacer clic en un botón que hizo que volvieran a
    twittear la ubicación de la página maliciosa, y se propagó masivamente.
    También ha habido ataques de clickjacking que abusan de la funcionalidad "Me gusta" de
    Facebook. Los atacantes pueden engañar a los usuarios registrados de Facebook para
    que arbitrariamente les gusten páginas de fans, enlaces, grupos, etc.

    Defensa contra el clickjacking


    Hay dos formas principales de evitar el clickjacking:

    1. Enviar los encabezados de respuesta de la directiva de antecesores de marco


    (CSP) correctos de la Política de seguridad de contenido (CSP, por sus siglas en
    inglés) que indican al navegador que no permita el enmarcado de otros
    dominios (Esto reemplaza los encabezados HTTP anteriores de X-Frame-
    Options).
    2. Emplear código defensivo en la interfaz de usuario para garantizar que el marco
    actual sea la ventana de más alto nivel
    Para obtener más información sobre la defensa de Clickjacking, consulte la Hoja de trucos
    de la defensa de Clickjacking .

    Referencias
     ¿Por qué estoy ansioso por Clickjacking?
    Una comprensión básica del ataque de clickjacking

     https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-
    Policy/frame-ancestors
    Recurso de desarrollador de Mozilla en el encabezado de respuesta de
    antepasados de marco de Política de seguridad de contenido.

     https://developer.mozilla.org/en-US/docs/The_X-FRAME-
    OPTIONS_response_header
    Recurso de desarrollador de Mozilla en el encabezado de respuesta de X-Frame-
    Options.

     Busting Frame Busting: un estudio de vulnerabilidades de clickjacking en


    los sitios principales
    Un estudio realizado por Stanford Web Security Group que describe los problemas
    con el código desplegado de eliminación de marcos.

     Clickjacking, Sec Theory


    Un documento de Robert Hansen que define el término, sus implicaciones contra
    Flash en el momento de la redacción y un calendario de divulgación.

     https://www.codemagi.com/blog/post/194
    La nueva defensa de marcos para los navegadores antiguos que no son
    compatibles con los encabezados X-Frame-Option.

     Filtro J2EE anti-clickjacking


    Un filtro de servlet J2EE simple que envía encabezados anti-enmarcado al
    navegador.

    Potrebbero piacerti anche