informatica:seguridad:cursos:hacking_etico_descubriendo_vulnerabilidades_en_aplicaciones_web:clickjacking
¡Esta es una revisión vieja del documento!
Tabla de Contenidos
Clickjacking
Notas del curso Hacking ético: descubriendo vulnerabilidades en aplicaciones web
Superposición de un elemento iframe sobre otro con el fin de “capturar” el click del usuario sin que este sea consciente con el fin de provocar una acción no deseada por parte del usuario.
Impacto
- Acciones indeseadas por parte del usuario. Requiere su interacción.
Formas de explotación
- Ingeniería social.
- CSRF
- Phishing
Explotación
Vamos a probar si DVWA que viene en Kali Linux es vulnerable a Clickjacking.
Para ello, creamos un documento HTML con el siguiente contenido:
Explicación sobre cómo comprobar esta vulnerabilidad en OWASP.
Buenas prácticas
- Implementar la cabecera
X-Frame-Optionsen el servidor - Implementar la cabecera
Content Security Policyen el servidor
Estas cabeceras se configuran a nivel de servidor web.
informatica/seguridad/cursos/hacking_etico_descubriendo_vulnerabilidades_en_aplicaciones_web/clickjacking.1711376994.txt.gz · Última modificación: por tempwin