Clickjacking tecnica para engañar usuarios en sitios webs


Clickjacking es una técnica que engaña a los usuarios mediante un click para que revelen informacion confidencial o tomar el control de su computadora.

Clickjacking es una vulnerabilidad que muchas plataformas y navegadores poseen.

El término “clickjacking” fue dado por Jeremiah Grossman y Robert Hansen en 2008. El exploit es también es conocido como UI redressing.

¿Cómo funciona?

Clickjacking toma el control de los vinculos que nuestro navegador visita, botón, o cualquier elemento de la página sin que ni siquiera uno vea que está sucediendo. Esto lo hacen utilizando un Frame o iFrame con opacidad nula por encima del contenido original de la pagina de manera que el usuario, al tratar de dar clic sobre los elementos de la pagina original, realmente interactúe con los elementos ocultos de este iFrame sin darse cuenta. Este iFrame, a su vez, puede en realidad ser parte de un dominio totalmente diferente al de la pagina original que cubre y tendría la capacidad de hacer requests via Ajax a repositorios de datos de dichos dominios.

Dicho de otra forma, imaginemos un cristal (opacidad 0) con algo debajo, intentamos tocar con el dedo lo que hay debajo, pero tocamos el cristal, esto es lo mismo que sucede cuando ponemos un iFrame con opacidad 0 (invisible) encima de ciertos elementos de nuestra web: el usuario irá a hacer clic en nuestros elementos, pero hará clic dentro del iFrame.

¿Cómo Prevenir?

NoScript

Es un complemento para Mozilla Firefox que te avisara si hay una posible amenaza Clickjacking.

GuardedID

Ofrece proteccion contra clickjack pero es comercial es exclusivo para usuarios de Internet Explorer o Mozilla Firefox.

Gacela

Es un navegador seguro basado en Internet Explorer posee proteccion contra ClickJacking.

 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s