915 792 426 - 689 888 537

Blog

ACTUALIDAD
27 Dic 2016

Clickjacking, ¡Cómo demostrarlo!

/
Publicado por
/
Comentarios0

Es bien sabido, que una gran cantidad de páginas web, son vulnerables a clickjacking. El clickjacking, es una técnica ilegal y maliciosa, que permite engañar a un usuario, para que revelen información o incluso cedan el control de su equipo, con un solo click. Evidentemente, la Ingerniería social está detrás…

En muchas auditorías, he visto que sólo se nombra, que la página, puede ser vulnerable a clickjacking, pero no aportan demostración. Por qué? desconocimiento? dificultad en la demostracion?…

Aquí os mostraré como con una herramienta, es sencilla su demostración. Como es lógico, la pericia en la explicación del auditor debe ser máxima, para que el cliente, lo entienda.

Vamos a ello. Lo haremos por pasos.

Descargaremos la tool, llamada Jack-master, clicando aqui.

Una vez descargada y descomprimida, nos iremos al archivo index.html.

Nos aparecerá la herramienta en nuestro navegador por defecto.

2-abrimos-la-tool

Ahora, analizaremos una web, donde nuestros escáneres de vulnerabilidades, nos han dicho que es vulnerable a clickjacking. Pues a demostrarlo.

La web, puede ser esta.
1-tenemos-una-web

Ahora..vamos a nuestra tool e introducimos la dirección en la casilla de URL y presionamos load, para que se cargue.
4-le-damos-a-load

Si la página se carga, es la primera buena señal. Nos quedaría así:

5-se-carga-la-pagina-buena-senal-cuando-no-es-vuln-no-se-carga

Bien, continuamos y arrastramos los formularios a sus respectivos sitios. Nos quedaría de la siguiente forma:

6-arrastramos-la-parte-del-login-password-y-el-submit

Los he colocado algo descuadrados, para que finalmente veais como se situa encima de los reales. Lo suyo sería hacerlo perfecto.

Una vez colocados, le daremos a la pestaña view.

7-clicamos-view

Nos daría el siguiente resultado…

8pagina-falsa-lo-he-descuadrado-para-que-veais-donde-hemos-colocado-cada-formulario

Como veis, os he marcado los descuadres. Esto es simplemente para que veais la falsificación, además de verlo en la barra del navegador, claro.

Pues ahora introducimos los datos de la prueba, datos falsos…y presionamos en login, que corresponde en la web a  “sign in”.

10-clicamos

Y nos aparecerá en pantalla, los resultados introducidos.

11-poc-finalizada-con-exito

Demostrada la vulnerabilidad. Aquí mostramos en pantalla, lo introducido, pero podriamos escribir nuestro propio código en la misma herramienta y hacerlo que lo ejecute, pudiendo enviarse a un servidor nuestro, la documentación sustraida.

 

Bueno..aquí os dejo mi último blog de este año. Espero que a los que os dediquéis a esto o lo estéis pensando, os sirva de ayuda. Recordad, que una vulnerabilidad no demostrada, no existe..al menos para el cliente.

 

Un abrazo y feliz salida y entrada de año!!!!

 

 

 

OLYMPUS DIGITAL CAMERA

Francisco Sanz

 



Dejar una respuesta