Vulnerabilidad en todos los navegadores: Clickjacking en Noticias

kyubi-chan 14 oct 2008 05:35

Independiente

11.485 mensajes
desde nov 2005
en Selenia

No sé si ya se ha comentado, lo cierto es que la noticia es de finales del mes pasado pero no he visto nada al respecto.

El caso es que se ha descubierto una vulnerabilidad que afectaría a todos los navegadores y que permite esconder elementos malignos dentro de una página que en principio se consideraría benigna. La información no es aún muy precisa pero vendría dada através de los clicks en un elemento cualquiera de la página. Eldescubrimiento de tal vulnerabilidad ha sido expuesto por Robert Hansen y Jeremiah Grossman, fundador y jefe ejecutivo de SecTheory LLC el primero y jefe de tecnología en WhiteHat Security Inc el segundo.

De momento la única solución la trae Noscript de Firefox.

Fuente

ttkkee2 05 nov 2008 23:44

Adicto

190 mensajes
desde may 2008

Aquí teneis un ejemplo para robar la clave de gmail: http://www.planb-security.net/notclickj ... _jack.html

Claro q en la web atacante habría q poner el iframe del login de gmail real y engañar de alguna forma para que accedan desde ahí. Los problemas del clickjacikin son muy grandes xq a ver como le quitamos ahora javascript, java, flash... al web. Vamos q se queda inútil como volver a los inicios del web

firewire 06 nov 2008 00:26

MegaAdicto!!!

16.948 mensajes
desde abr 2005

Back to the 90s!

Todo el mundo desactivando todo en el navegador, volvemos a Netscape o qué?

En una entrevista el viernes, llamó clickjacking similar a una petición entre sitios falsa, un tipo conocido de vulnerabilidad y ataque que algunas veces tiene el nombre de CRSF o sidejacking. Pero clickjacking es lo suficientemente distinto que las provisiones de seguridad actuales anti-CRSF integradas en los navegadores, sitios y aplicaciones web son inútiles.

"Piensa en cualquier botón de la red, interna o externa, que puedes hacer que aparezca entre las paredes de los navegadores," (sic) dijo Grossman en un correo electrónico el viernes. "Transferencias entre bancos, botones de Digg, banners de publicidad de CPC, etc. La lista es virtualmente infinita y estos son ejemplos relativamente benignos."

Ainssss... miedo me da.

Saludos!