¿Cómo robar el código fuente a través de clickjacking?

Navega tus respuestas
2

¿Es posible robar el código fuente a través de clickjacking, para que el atacante también pueda robar los tokens CSRF?

Este es un sitio web de ataque de demostración: 

<!DOCTYPE html>
<html>

</div>
<div draggable="true" ondragstart="test();">
<h3>DRAG ME!!</h3>
<script>

function test(){

    var v1 = document.createElement('iframe');
    v1.src = "http://demo.testfire.net/search.aspx?txtSearch="
    v1.setAttribute("style", "opacity:0.5");
    v1.setAttribute("border", "0");
    v1.setAttribute("scrolling", "0");
    v1.setAttribute("id", "pi");

    document.body.appendChild(v1);

    document.getElementById("pi").onload =function(){
        alert(this.responseText);
    }

}

</script>
</html>

Ahora, como puede ver, estoy intentando robar el código fuente con la ayuda de un cuadro de alerta. Pero no tuve éxito en eso.

¿Qué me estoy perdiendo aquí?

    
pregunta Utkarsh Agrawal 28.01.2018 - 12:47
fuente

1 respuesta

6

No es posible usar clickjacking para obtener acceso de origen cruzado al código fuente de una página web. Este acceso está restringido por la política del mismo origen y el clickjacking no lo ignora. Esto significa que, al igual que en un ataque CSRF, puede causar una acción de origen cruzado con clickjacking pero no puede leer el resultado de esta acción.

Gracias a Arminius por señalar en un comentario que una vez fue posible filtrar el contenido mediante el clickjacking mediante arrastrar y soltar de origen cruzado. Consulte, por ejemplo, Clickjacking 2.0 con arrastrar y amp; drop o este error para Firefox . Esto parece estar prohibido en los navegadores por un tiempo, es decir, los navegadores modernos ya no deberían verse afectados por esto.

    
respondido por el Steffen Ullrich 28.01.2018 - 13:53
fuente

Lea otras preguntas en las etiquetas

¿Cómo puede la policía obtener el historial de búsqueda de alguien? ¿Es un modelo de amenaza totalmente subjetivo o puede basarse en pautas objetivas?