Clickyacking y fallas de redirección.

Hola a todos,

Recopile en el artículo de hoy Dos conceptos similares, son las fallas de Clickjacking y Redirection.

Estos son ataques totalmente indetectables por antivirus y otros programas de limpieza, solo Un usuario advertido y sensibilizado (en el que va a estar) es capaz de frustrarlos.

Estos conceptos permiten los ataques. En los usuarios de Internet, sin que se den cuenta de que se realice.

a Comience, ¿qué es Clickjacking?

English Friends, sepa que en la informática, nos tomamos muchas palabras para el idioma inglés, aquí Clickjacking simplemente significa «haciendo clic en» en francés.

Clickyacking Por lo tanto, es utilizar el clic de su mouse para otros fines, potencialmente maliciosos.

Como siempre, nada supera un buen ejemplo:

El paloma es una palabra derivada de «como» y Clickyacking en referencia a lo útil Aprobamos la malversación de hacer clic para garantizar que los usuarios de Internet les gusten las páginas de Facebook a su conocimiento.

«¿Pero? ¡Nunca me gustó esta página! ¡Pff Facebook es algo!

Antes de acusar a Facebook, debe saber que algunos sitios maliciosos usan la técnica de clickjacking para colocar un botón «Me gusta» invisible que sigue automáticamente su mouse.

Piensa, así que haga clic en los botones y enlaces en el sitio dado… mientras que, de hecho, haga clic en el botón «Me gusta» invisible.

Ejemplo concreto aquí: https: //www.leblogduhacker.fr / sandbox / Clickjack.php

«) No se preocupa, el botón es solo semi transparente, y te hará como la página de Facebook del blog del hacker. Le daré reconocido al mismo tiempo si Usted llega a Facebook).

Tamaño es solo un ejemplo, entre otros, podemos imaginar que los usuarios personalizados hacen clic en el botón para permitir el acceso a la cámara web.

usted también puede Imagina que es posible cambiar la configuración de una cuenta de Facebook, también puede imaginar que es Posible para reenviar a alguien en Twitter… etc. Y, finalmente, podríamos aplicar clic muy bien, apliquen clicking a la falla de CSRF, resultado: Potencialmente puede piratear un sitio web.

Ejemplo de clickjacking donde el atacante recupera los identificadores de Una víctima a través de un sitio colocado sobre otra contramedidas

El chaquete de clic es difícil de detectar, y todos no mirarán el código fuente de cada página visitada para asegurarse de que no hay script malicioso es ejecutado.

Además, luchar contra el clickjacking de manera efectiva volvería a deshabilitar los scripts de sonido. Navegador, pero que no dice un guión llamado Big General Handicap. Por lo tanto, la solución no es posible.

Afortunadamente, tenemos una pequeña solución que se perfile es el uso del complemento NOSIPT con la opción ClearClick que protege de Clickjacking. NoScript le permite dejar todos los scripts habilitados, ¡pero mantenga la protección contra los micrófonos, y ahí está bien! Información y descarga aquí, más información aquí (en inglés).

Con respecto a la protección de su sitio web, nuevamente es posible evitar que un sitio aparezca en un iframe (por lo que en forma de «botón invisible»), pero nuevamente, esto no es ideal porque muchos servicios les gustaría usar un sitio en un iframe legítimo.

Dicho esto, la información está aquí para Apache y allí para IIS7 (notará que carece de traducción a Francés, si bien sería muy bueno ponerse allí mismo, tampoco es un pequeño problema).

¿Las fallas de redireccionamiento?

Llegamos a la segunda parte de la Artículo: Las fallas de redireccionamiento.

Las fallas de redirección no sirven para encender su cámara web o seguir a una persona en una red social, pero se usan más bien para llevar a cabo ataques de phishing.

el El concepto sigue siendo similar: hacemos que el usuario cree que irá en un sitio legítimo, entonces q Se redirige directamente a otro sitio. Aunque el comportamiento está en la teoría normal (un sitio dado tiene derecho a hacer un enlace a otro sitio), se puede usar tanto malicioso.

Tomemos el ejemplo Del año pasado en el chequeo de redirección de Facebook:

Imagina que el siguiente enlace es siempre funcional:

http://apps.facebook.com/fifaccebcbdb/0/preload.aspx? fb_force_mode = iframel = http: //www.google.com

¿Qué sucede después de haber hecho clic?

Respuesta: ¡Nos encontramos directamente en Google! (Tenga en cuenta la «http://www.google.fr» al final).

Mientras el inicio del enlace corresponde a apps.facebook.com, podría haber sido facebook.com.

Nota Además, a menudo es posible truncar los enlaces de este tipo:

http://apps.facebook.com/fifaccebcbdb/0/preload. ASPX? FB_FORCE_MOD...

El usuario no guardado solo ve fuego.

Finalmente, imagine que el sitio de destino no es Google, sino una copia de Facebook: el usuario conecta al creyente para ser En Facebook, su contraseña se recupera de inmediato y ni siquiera se realiza.

hmm y para la pequeña precisión que tiene su interés, este tipo de falla existe en muchos sitios muy famosos que utilizamos todos los días… Es una falla que aún no se considera realmente «falla» y, sin embargo…

contramedidas

Para contrarrestar las fallas de redirección, debemos verificar los enlaces en los que hacemos clic, y usa el principal Precaución contra el phishing.

Para asegurarse de ver el enlace en el que hará clic en Aparecer en su totalidad, simplemente coloque su cursor en el enlace en cuestión y observe la parte inferior de su navegador.

Ejemplo con Firefox:

y para obtener más información sobre el phishing, invito a leer el siguiente artículo: Phishing Facebook, explicaciones y contramedidas.

Conclusión

La conclusión es a menudo la misma: no podemos hablar o estafar porque su antivirus es malo, sino porque usamos técnicas astutas contra usted.

y si no eres consciente de estos ataques, saltarás ambos pies en Al mismo tiempo en la trampa.

¿Quieres aprender más sobre las fallas web?

Esta falla y muchos más se ve en detalle en mi curso de video en las pruebas de intrusión web.

Hablaremos de los fundamentos: Funcionamiento de HTTP, HTTPS, DNS y de arquitectura web en general.

También estableceremos un laboratorio de pruebas con máquinas virtuales para albergar y escanear nuestros sitios vulnerables para aprender sin romper nada.

Vamos, por supuesto, hablaremos sobre todas las fallas web (XSS, CSRF, SQL, LFI, RFI,… etc.) siguiendo los 10 primeros OWASP, pero también de todo lo que gira en torno a la Seguridad Web: Denis of Service, Mal Configuraciones, Datos personales, Reconocimiento, etc. Impaciente para comenzar con usted, lo invito a Únete al curso ahora: https://cyberini.com/cours/hacking-etique-tests-intusion-web/

libro electrónico PDF 6 mitos en el pirateo que el 90% de las personas todavía creen…

¡Descubre cómo los hackers actúan todos los genios? ¿Están en su entorno? Etc…

Descargo mi guía gratuita ×

¿A qué dirección de correo electrónico le gustaría recibir la guía?

Artículos similares

Excluidos 2022: Atención a fallas de redirección en Facebook

Una falla de redirección en Facebook ha sido descubierta hace dos meses. El equipo de seguridad de Facebook fue contactado y el problema se establece ahora. Aquí están los detalles sobre lo que fue posible hacer. Los autores de este descubrimiento divergen de acuerdo con el…

Proteger de la falla XSS (Scripts de sitio transversal)

Introducción: ¿Cuál es el artículo XSS en el destino de los desarrolladores? Administradores web y del sitio. XSS viene de scripts de sitios cruzados y, como ya se tomó la acrónima CSS para hojas de estilo en cascada, usamos una X para «CROSS» (Cruz en inglés). La falla consiste en inyectar un guión arbitrario…

HACK ¿Una cuenta de Facebook en dos segundos? ¿Un mito?

«Usted desea piratear una cuenta de Facebook en 2 segundos, ingrese el nombre de su objetivo…» Bueno, si ha hecho clic o si lo cree, no importa. Lo siento por usar este enfoque, pero es el mejor y único medio de prevención que tengo, y el que…

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *