(Nivel medio)
Es bien sabido, que una gran cantidad de páginas web, son vulnerables
a clickjacking. El clickjacking, es una técnica ilegal y maliciosa, que
permite engañar a un usuario, para que revelen información o incluso
cedan el control de su equipo, con un solo click. Evidentemente, la
Ingerniería social está detrás…
En muchas auditorías, he visto que sólo se nombra, que la página,
puede ser vulnerable a clickjacking, pero no aportan demostración. Por
qué? desconocimiento? dificultad en la demostracion?…
Aquí os mostraré como con una herramienta, es sencilla su
demostración. Como es lógico, la pericia en la explicación del auditor
debe ser máxima, para que el cliente, lo entienda.
Vamos a ello. Lo haremos por pasos.
Descargaremos la tool, llamada Jack-master, clicando
aqui.
Una vez descargada y descomprimida, nos iremos al archivo index.html.
Nos aparecerá la herramienta en nuestro navegador por defecto.

Ahora, analizaremos una web, donde nuestros escáneres de
vulnerabilidades, nos han dicho que es vulnerable a clickjacking. Pues a
demostrarlo.
La web, puede ser esta.

Ahora..vamos a nuestra tool e introducimos la dirección en la casilla de URL y presionamos load, para que se cargue.

Si la página se carga, es la primera buena señal. Nos quedaría así:

Bien, continuamos y arrastramos los formularios a sus respectivos sitios. Nos quedaría de la siguiente forma:

Los he colocado algo descuadrados, para que finalmente veais como se situa encima de los reales. Lo suyo sería hacerlo perfecto.
Una vez colocados, le daremos a la pestaña view.

Nos daría el siguiente resultado…

Como veis, os he marcado los descuadres. Esto es simplemente para que
veais la falsificación, además de verlo en la barra del navegador,
claro.
Pues ahora introducimos los datos de la prueba, datos falsos…y presionamos en login, que corresponde en la web a “sign in”.

Y nos aparecerá en pantalla, los resultados introducidos.
Demostrada la vulnerabilidad. Aquí mostramos en pantalla, lo
introducido, pero podriamos escribir nuestro propio código en la misma
herramienta y hacerlo que lo ejecute, pudiendo enviarse a un servidor
nuestro, la documentación sustraida.
Saludos y hasta la próxima.
Fdo. Francisco Sanz