viernes, 6 de enero de 2017

Clickjacking ¡Cómo demostrarlo!

(Nivel medio)

Es bien sabido, que una gran cantidad de páginas web, son vulnerables a clickjacking. El clickjacking, es una técnica ilegal y maliciosa, que permite engañar a un usuario, para que revelen información o incluso cedan el control de su equipo, con un solo click. Evidentemente, la Ingerniería social está detrás…
En muchas auditorías, he visto que sólo se nombra, que la página, puede ser vulnerable a clickjacking, pero no aportan demostración. Por qué? desconocimiento? dificultad en la demostracion?…
Aquí os mostraré como con una herramienta, es sencilla su demostración. Como es lógico, la pericia en la explicación del auditor debe ser máxima, para que el cliente, lo entienda.
Vamos a ello. Lo haremos por pasos.
Descargaremos la tool, llamada Jack-master, clicando aqui.
Una vez descargada y descomprimida, nos iremos al archivo index.html.
Nos aparecerá la herramienta en nuestro navegador por defecto.


2-abrimos-la-tool
Ahora, analizaremos una web, donde nuestros escáneres de vulnerabilidades, nos han dicho que es vulnerable a clickjacking. Pues a demostrarlo.
La web, puede ser esta.

1-tenemos-una-web
Ahora..vamos a nuestra tool e introducimos la dirección en la casilla de URL y presionamos load, para que se cargue.

4-le-damos-a-load
Si la página se carga, es la primera buena señal. Nos quedaría así:

5-se-carga-la-pagina-buena-senal-cuando-no-es-vuln-no-se-carga
Bien, continuamos y arrastramos los formularios a sus respectivos sitios. Nos quedaría de la siguiente forma:

6-arrastramos-la-parte-del-login-password-y-el-submit
Los he colocado algo descuadrados, para que finalmente veais como se situa encima de los reales. Lo suyo sería hacerlo perfecto.
Una vez colocados, le daremos a la pestaña view.

7-clicamos-view
Nos daría el siguiente resultado…

8pagina-falsa-lo-he-descuadrado-para-que-veais-donde-hemos-colocado-cada-formulario
Como veis, os he marcado los descuadres. Esto es simplemente para que veais la falsificación, además de verlo en la barra del navegador, claro.
Pues ahora introducimos los datos de la prueba, datos falsos…y presionamos en login, que corresponde en la web a  “sign in”.

10-clicamos
Y nos aparecerá en pantalla, los resultados introducidos.


11-poc-finalizada-con-exito

Demostrada la vulnerabilidad. Aquí mostramos en pantalla, lo introducido, pero podriamos escribir nuestro propio código en la misma herramienta y hacerlo que lo ejecute, pudiendo enviarse a un servidor nuestro, la documentación sustraida.

Saludos y hasta la próxima.


Fdo. Francisco Sanz

No hay comentarios:

Publicar un comentario