Clickjacking en un sitio sin cuentas de usuario

  

Supongamos que mi sitio no tiene el concepto de una cuenta de usuario ...   Entonces, ¿es aplicable un ataque de clickjacking a mi sitio?

Aunque no hay cuentas, si existe un concepto de sesiones de usuario, es posible que se aplique Clickjacking. Todo depende de lo que se almacena a nivel de sesión.

La mejor manera de pensar esto es que si su sitio recuerda el estado a nivel de sesión y no está configurando X-Frame-Options para evitar el enmarcado, entonces un atacante podría engañar a un usuario para que envíe esta información de estado para ejecutar una acción.

El otro requisito sería un elemento seleccionable en algún lugar de su sitio, generalmente un botón, que no requiera ninguna entrada en la página, excepto el clic.

El clickjacking es una especie de "manera de eludir" la protección CSRF en páginas donde no se requiere la participación del usuario para enviarlas.

Un ejemplo:

1. El usuario agrega un "widget" a su cesta en su sitio.
2. El usuario va al proceso de pago e ingresa su información personal y los detalles de la tarjeta.
3. Esta información se almacena del lado del servidor en la sesión del usuario, identificada a través de un token aleatorio que se almacena en una cookie.
4. El usuario es redirigido a una página de confirmación para que pueda verificar sus detalles antes de enviar el pedido: una solicitud GET para example.com/confirm.php muestra su pedido y puede hacer clic en el botón Enviar para completar su pedido y enviar un formulario vacío ( excepto por un token CSRF) que resulta en una solicitud POST a complete.php .

Ahora un atacante podría encuadrar la página confirm.php y mostrar otro botón en la parte superior para que cuando el usuario haga clic en el botón, envíe su pedido a su sitio. Tal vez esto podría combinarse con una vulnerabilidad CSRF en otro lugar para agregar elementos a la canasta de un usuario, y podría ejecutarse en un punto en el que se sepa que la sesión está completa (tal vez el atacante haya ganado el control de uno de los sitios del anunciante que se muestran después de la primera verificación del usuario y esta vulnerabilidad les permite volver a hacerlo con un elemento elegido por el atacante).

Entonces, sí, su sitio podría ser vulnerable y depende de los detalles de implementación específicos y del modelo de negocio de su sitio para ver si representa una amenaza real o no.

Sí, su sitio puede ser secuestrado, ya sea que tenga cuentas de usuario o no.
Si los usuarios tienen cuentas en su sitio, entonces el ataque de clickjacking se puede realizar contra la cuenta. Pero también se podría realizar un ataque de clickjacking contra algún otro aspecto del objetivo.

Wikipedia tiene un algunos ejemplos : engañar a un usuario para que habilite su cámara web y pueda seguir a alguien en Twitter. o haz que "me guste" algo en Facebook.

El hecho de que nuestros usuarios no tengan una cuenta no los protege de un ataque de clickjacking. Si el clickjacker está detrás del número de la tarjeta de crédito, el requisito para que el usuario escriba toda su información hace que sea más fácil para el clickjacker obtener esos datos personales también.

Se puede hacer clickjacking a su sitio. Si el usuario autenticado ha iniciado sesión en su aplicación y el atacante le envía un enlace malicioso, cuando el usuario haga clic en ese enlace obtendrá un sitio que tiene un botón de clic aquí. Debajo del botón haga clic aquí, habrá un Iframe de su sitio para eliminar al usuario. Cuando el usuario haga clic en el botón haga clic aquí, se eliminará su cuenta. Más información sobre clickjacking