Secuestro de Frames Inocentes


Todos los trucos mágicos tratan sobre sugestión, psicología y espectacularidad, o tal vez como diría Cutter, cada truco de magia consta de 3 partes: la prenda (donde el mago muestra algo ordinario), la conversión (donde lo ordinario se convierte en algo extraordinario), y el prestigio (donde lo extraordinario se convierte en algo nunca antes visto).

2741249831c34bd840c7446vl9 Secuestro de Frames Inocentes

De una forma similar, en el mundo real las brechas de son una combinación de características que a menudo encontrarás en las ejecuciones de habilidosos magos. Por eso, permíteme presentarte una forma simplista de ataque, tal vez tan simple que, de hecho, podría funcionar mucho mas a menudo de lo que admitimos, la cual usa habilidosamente sugestión, psicología y una gran dosis de espectacularidad.

Todos hemos escuchado sobre clickjacking y sabemos que es un bug de diseño y por consiguiente es dificil tratar con el. Sin embargo, ¿Hay otras áreas defectuosas de los modernos que puedan ser abusadas? Por supuesto, las hay. Solo que toma su tiempo encontrarlas todas porque por lo general estan tan bien ocultas bajo nuestras creencias comunes, prejuicios e ignorancia. Veamos este código:

<>
<body>
<script>
function clickme() {
var w = window.open('http://www.google.com');
setTimeout(function () {
w.location = 'http://www.dragonjar.org';
}, 5000);
}
</script>
<input type="button" value="click me" onclick="clickme(this)"/>
</body>
</html>

Bastante aburrido! Estoy de acuerdo. Primero que todo el usuario hace clic en el enlace/botón. Después una nueva ventana/pestaña se abre la cual carga el contenido de http://www.google.com. 5 segundos mas tarde la nueva ventana abierta precarga el contenido de http://www.dragonjar.org. ¿Perturbante este código? Creo que si. Es perturbante porque se rompe la relación de confianza que hay entre el usuario y google.com en este ejemplo específico. Llámalo surfjacking, framejacking, tabjacking o como quieras, pero a fin de cuentas, creo que es solo otra forma de mal diseño.

Continuar leyendo articulo en el foro Hijacking de Frames Inocentes…


Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Co-Fundador del ACK Security Conference y Fundador de DragonJAR SAS y de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Compartir este Artículo