1 minuto(s) estimado(s) de lectura
Clickjacking
comprobar vulnerabilidad
Es un ataque basado en la interfaz, el cual utiliza múltiples capas transparentes u opacas para engañar a un usuario para que haga clic en un botón o enlace en otra página, básicamente el atacante estará “secuestrando” clics destinados a la página real y enrutándolos a otra página, muy probablemente propiedad de otra aplicación, dominio o ambos.
Esta vulnerabilidad se puede comprobar a través de la herramienta Jack, la cual se inicia a través de un index.html del repositorio.
Ahora se abre el index.html en nuestro navegador favorito:
Como se aprecia se podrán arrastrar aquellos que dicen “Drag me”, es simplemente para comprobar de mejor forma el clickjacking. Ahora para comprobar si una página es vulnerable o no debemos ingresar el link en URL y hacer clic en “Load”.
Si no aparece nada en pantalla como es este caso significa que no es vulnerable a clickjacking. Ahora si es vulnerable pasará lo siguiente:
La página cargará y se mostrará en pantalla, es decir, es vulnerable. Para evitar este tipo de ataques, en el sitio vulnerable se debe incluir un encabezado HTTP x-frame-options que evite que el contenido de su sitio se cargue en un marco (etiqueta) o iframe (etiqueta). Además de validar que el sitio se encuentre protegido ante soluciones “Web Application Firewall” (WAF).
