Hace unos meses, empezó a sonar un nuevo concepto llamado clickjacking. Esta nueva vulnerabilidad se presento en la OWASP AppSec de New York el 24 de Septiembre de 2008, sin llegar a explicar todos los detalles referentes a ésta, dado que existÃan productos de Adobe que eran vulnerables y podrÃan llegar a provocar un gran impacto, y a petición de los proveedores se omitió cierta información (S21sec ya informó de la aparición de esta vulnerabilidad en este post).
La vulnerabilidad reside en crear una aplicación web para manipular al usuario y que inconscientemente realice una serie de acciones y clicks donde el usuario malintencionado desee, de esta forma se están realizando acciones en nombre del usuario.
La manipulación, se puede llevar a cabo mediante un simple juego en javascript que indique al usuario que tiene que clicar en diferentes puntos de la pantalla, donde ésta en realidad está compuesta por varias capas. Una de las capas es la que en todo momento está visualizando que es la maligna y otra de estas, mediante la utilización de iframes es la capa que recibe los clicks del usuario ya que está por encima de la anterior, tal y como se muestra en las siguientes figuras:
Página que recibirÃa el ataque:
Página creada para realizar el ataque (incluyendo la anterior):
Recientemente, se ha publicado que esta vulnerabilidad afectaba a la red social www.twitter.com. Un usuario creó una aplicación, en la que habÃa un botón donde se podÃa ver “Don’t click†(no clicar), asà que la curiosidad de la gente, hacÃa que clicasen el botón, por lo que se hacÃa una petición a twitter en nombre del usuario. Al final twitter le pidió que eliminase la aplicación donde los demás usuarios clicaban el botón.
Una medida que pueden tomar los usuarios, es la de instalarse el plug-in no-script para Firefox, que en su última versión, ya ha tenido en cuenta esta vulnerabilidad por lo que no permite que este tipo de ataques se llevan a cabo.
A continuación se muestra un ejemplo de como llevar a su ejecución esta vulnerabilidad, aprovechando para que el usuario descargue el plug-in para Firefox no-script (para facilitar la prueba de concepto no se ha tenido en cuenta temas de estilo, en función de los distintos navegadores, tan solo se han realizado pruebas en Firefox).
En una próxima entrega se expondrá una prueba de concepto más técnica para que se pueda entender de una manera más clara como afecta la vulnerabilidad.
Puede seguir leyendo aquà y aquÃ.
Autor: Abel Gomez
Fuente: S21sec AuditorÃa y segu-info.com.ar