Omitir la posibilidad de opciones de trama x discusión

Navega tus respuestas
2

Esto tiene algo que ver con una publicación diferente que hice: Otra publicación

Mientras investigaba esto un poco más, encontré la siguiente entrada de blog: blog elev

Según tengo entendido, este tipo lee todo el contenido de un sitio web y luego lo muestra en su iframe. De esta manera, las opciones de marco x se eluden y el sitio se puede mostrar. Él usa esta función para probar algo o lo otro.

Esto se resolvió pensando en las implicaciones de seguridad de esto.

Considere el siguiente escenario:

  • Tengo un sitio con una página de inicio de sesión y configuro las opciones de x-frame a SAMEORIGIN ya que no quiero ser vulnerable a los ataques de clickjacking
  • Un atacante crea un sitio como en la publicación de blog y coloca todo el contenido de mi sitio en un iframe como se informa en la publicación de blog. Luego pone un iframe invisible encima de eso, que utilizará para reunir lo que los usuarios pondrán en el formulario de inicio de sesión.
  • Un atacante engaña a un usuario para que haga clic en su enlace a un sitio que tenga una URL similar a la mía (por ejemplo, mys1te.com).
  • El usuario cree que es mi sitio e inicia sesión
  • El atacante tiene las credenciales del usuario

¿No es esto un ataque de clickjacking? Y si es así, ¿no es esta una manera de evitar las opciones de marco x? Y si es así, ¿qué se puede usar para asegurarnos al 100% de que no es posible hacer clickjacking?

Estoy tratando de encontrar los agujeros en esta historia.

    
pregunta Wealot 31.03.2017 - 10:51
fuente

1 respuesta

3
  

Según tengo entendido, este tipo lee todo el contenido de un sitio web y luego lo muestra en su iframe.

Literalmente descarga el contenido del sitio y lo imprime en su propia página. Esto significa que el contenido que descargó posteriormente pertenece a su propio dominio.

Pero la idea principal de un ataque de clickjacking es que incrustas un sitio desde un origen diferente en un marco. Por ejemplo, un simple ataque de clickjacking podría ser que incrusté https://facebook.com/ en un marco oculto en mi sitio y coloco el marco de manera que al hacer clic en cualquier lugar de mi sitio, haga clic dentro del marco y, por ejemplo, involuntariamente. Como uno de mis mensajes de Facebook. Obviamente, Facebook evita este escenario proporcionando un encabezado X-Frame-Options: DENY .

Sin embargo, si continúo como en la publicación del blog y descargo la página de Facebook en mi propio dominio para luego incrustarla en mi propio marco, no tendría sentido porque hacer clic en la copia de la página que descargué no activaría ninguna acción. en el sitio real de Facebook.

  
  • Un atacante engaña a un usuario para que haga clic en su enlace a un sitio que tenga una URL similar a la mía (por ejemplo, mys1te.com).
    •   
  • El usuario cree que es mi sitio e inicia sesión
    •   

Lo que describe suena más como un ataque de phishing. Copiar el contenido de una página diferente y hacer que se vea similar al original siempre será posible.

    
respondido por el Arminius 31.03.2017 - 14:56
fuente

Lea otras preguntas en las etiquetas

Ventana emergente extraña en 'GNUroot Debian' de Android: ¿qué podría causarla? Herramienta amigable para principiantes para simular la inundación de HTTP en mi sitio web