Desenmascara.me

How to verify whether a website is legitimate or not?: desenmascara.me

miércoles, 1 de junio de 2011

Clickjacking y sígueme en twitter

Ayer twitter publicaba la disponibilidad del nuevo botón "Sígueme".


Dicho botón permite de una forma sencilla que cualquier sitio web lo incluya y permitir así poder hacerse seguidor sin necesidad de ir al sitio de twitter. Se trata de una poderosa herramienta para establecer una conexión más profunda con su público, o con cualquiera

Por otra parte Clickjacking es un tipo de ataque que se basa en el uso de capas transparentes para hacer que un usuario haga click en un botón o enlace de una web de nuestra propiedad mientras el usuario piensa que hace click en otra parte. Pues bien, a las horas de publicarse el famoso botón de twitter, un investigador de seguridad francés, ha liberado una prueba de concepto (POC) de la vulnerabilidad en el botón de twitter.

Se basa en lo siguiente:
  • Configura el iframe totalmente invisible a través de CSS
  • Captura el evento mouse
  • Cuando el usuario mueva el ratón, mueve el iframe del botón de twitter para que siempre permanezca bajo el cursor.
  • Si el usuario hace click en cualquier parte de la página, automáticamente seguirá la cuenta.
Como en el momento de probarlo no estaba disponible la página de test, he creado esta para comprobar el funcionamiento.

Esta es la petición HTTP que generá y le devuelve el OK.



Pero aún así, no todo va de seguidores, el peligro que tiene dicha vulnerabilidad es que de esa forma, sin necesitar la precondición de estar logueados, nos pueden llevar a cualquier sitio sin nuestro conocimiento. Compruébalo.

No hay comentarios:

Publicar un comentario

Trata a los demás como te gustaría ser tratado.