¿Cómo obtener la información del iframe que se muestra (ClickJack) para que el usuario vuelva al atacante?

Navega tus respuestas
-1

Solo por conocimiento, ¿quiero saber cómo obtener la información del i-frame que se muestra al usuario y al atacante?

Escenario:

Supongamos que usted es un atacante y desea obtener la información privada de los usuarios que se muestra en una página web solo para ellos. Por lo tanto, encuentra una vulnerabilidad de clickjacking en esa página web y decide utilizar para capturar la información privada de los usuarios.

Suponiendo que la página web es: enlace

Ahora, cuando la víctima abra esta página de ClickJack, su información debe enviarse al atacante.

Intenté hacer el código js pero funcionaba bien si la página ClickJack se encuentra en el mismo host. No estaba funcionando en un sitio web externo.

¿Tienes alguna idea de cómo podría crear esa página de ClickJack?

    
pregunta Deepanshu Singh 10.10.2014 - 07:46
fuente

2 respuestas

0

¿Qué hay de enviar la información al servidor local y luego usar una tecnología de fondo (PHP?) para enviarla al servidor de terceros?

Su navegador lo impide como medida de seguridad (Llamada AJAX a un servidor de terceros)

    
respondido por el Wallermadev 10.10.2014 - 16:06
fuente
0

La respuesta es: no. Como se vio, su intento de obtener información del iframe para el atacante funcionó cuando el padre y el iframe eran del mismo dominio.

Cuando los dominios son diferentes, la información en el iframe secundario no puede ser leída por el padre. Consulte Política del mismo origen .

Para el clickjacking, el marco primario proporcionaría una capa invisible que usa javascript que se desplaza sobre los controles en el secundario, de modo que cuando un usuario legítimo intenta hacer clic en los controles legítimos en el marco secundario, en realidad está haciendo clic en los controles que proporciona el atacante. Esta es la razón por la que el clickjacking también se conoce como compensación de la interfaz de usuario.

    
respondido por el mcgyver5 26.12.2014 - 18:22
fuente

Lea otras preguntas en las etiquetas

¿Qué pasa si tengo un certificado basado en la dirección y un certificado basado en el dominio cargando recursos HTTPs en segundo plano? La forma correcta de verificar la vulnerabilidad CVE-2014-7169 (réplica)