¿Cómo demuestra esta prueba que mi aplicación es vulnerable a los ataques de clickjacking?

Navega tus respuestas
11

Quiero saber más sobre clickjacking. He estado leyendo un artículo sobre clickjacking , donde se proporcionó el código HTML para probar la vulnerabilidad del clickjacking. Intenté lo mismo que se describe en ese artículo y recibí el mensaje “You’ve been clickjacked!” en la parte superior de la página, lo que indica que mi aplicación web es vulnerable a este tipo de ataque:

  

Para probar si un sitio es vulnerable al clickjacking, cree un HTML   página similar a la siguiente, cambiando la URL resaltada en ROJO a   apunta a tu sitio objetivo: 

<html>
  <head>
    <title>Clickjack test page</title>
  </head>
  <body>
    <p>You’ve been clickjacked!</p>
    <iframe sandbox="allow-scripts allow-forms" src="http://localhost:8080"style="width:100%;height:90%"></iframe>
  </body>
</html>
  

Si ve el texto "¡Ha sido secuestrado!" en la parte superior de la página,   su sitio es vulnerable.

¿Cómo demuestra eso que mi sitio web es vulnerable?

    
pregunta lakshmi Prudhvi 01.07.2013 - 12:07
fuente

4 respuestas

4

Su página web se puede colocar dentro de un iframe.

Un atacante puede colocar fácilmente su sitio en un iframe en su página web, enmascararlo hábilmente y engañar al usuario para que haga clic en un botón allí.

Debido a CORS y CSRF tokens, generalmente los sitios web bajo un dominio diferente no pueden falsificar las solicitudes a su sitio web. Sin embargo, pueden engañar al usuario para que haga clic en los botones (por ejemplo, el botón "cerrar sesión").

Lea esta página OWASP para aprender cómo protegerse contra el clickjacking

    
respondido por el Manishearth 01.07.2013 - 12:53
fuente
4

Usted permite que la página web se enmarque desde otro dominio que no esté bajo su control. Lea el artículo de OWASP sobre el clickjacking.

  

Hay dos formas principales de evitar el clickjacking:

     
  1. Enviando los encabezados de respuesta del navegador adecuados que instruyen al   navegador para no permitir el enmarcado de otros dominios
    2.   
  2. Empleando defensiva       código en la interfaz de usuario para garantizar que el fotograma actual es el más alto       ventana de nivel
    3.   

Esto demuestra que su aplicación puede ser enmarcada por otros dominios y, por lo tanto, puede hacer clic en "jackable".

    
respondido por el Lucas Kauffman 01.07.2013 - 12:55
fuente
1

Sucedió que me encontré con esta pregunta y me di cuenta de que aportaría para aclarar cuál es el problema con esa prueba. No es realmente incorrecto, pero solo tiene en cuenta el script de defensa de clickjacking que se menciona en la página. No tiene en cuenta la defensa de encabezado X-FRAME-OPTIONS.

Si realiza esa prueba, hay un par de cosas que podrían suceder:

  • El texto del clickjack desaparece: Esto significa que hay una defensa de javascript y que no hay defensa de encabezado o que su navegador no lo admite.
  • El texto del clickjack todavía está allí pero no se muestra nada en el iframe: Esto significa que hay una defensa de encabezado, y su navegador lo admite. No se puede saber si la defensa de javascript está implementada porque la página iframe nunca se carga.
  • El texto del clickjack todavía está allí, y el sitio está cargado en el iframe: Esto significa que no hay defensa de javascript, y que tampoco hay defensa de encabezado o su navegador no lo admite.

Como se muestra en la segunda opción, la página se puede proteger correctamente, pero aún se ve el texto del clickjack. Para estar seguro, probablemente sea mejor realizar la prueba con un navegador moderno y antiguo sin compatibilidad con X-FRAME-OPTIONS.

Naturalmente, ambas defensas deben ser implementadas. La defensa de cabecera está dirigida a los navegadores modernos, mientras que la defensa de javascript protege a los navegadores antiguos.

Consulte enlace para obtener más información.

    
respondido por el Trax72 25.11.2013 - 22:13
fuente
0

Probé el sitio web enlace en lugar del localhost que tienes ahí arriba y aún muestra que has hecho clickjacked. No creo que ver ese mensaje sea la indicación de que su sitio es vulnerable. Más bien, si ve su página web en iframe con ese mensaje, significa que se puede hacer clic en jackable. Corrígeme si me equivoco.

    
respondido por el DoodleKana 08.10.2013 - 17:14
fuente

Lea otras preguntas en las etiquetas

Seguridad de las contraseñas recordadas por Windows ¿Contra qué protege tener una PKI interna de dos niveles?