4 oct 2008

¿Clickjacking con Firefox y NoScript instalado?

Mucho se ha hablado ClickJacking en los últimos días y en la protección brindada por Firefox y NoScript. Ahora parecía que la gente de 0x000000.com y de NulledCore había encontrado la forma de pasar esta proteción utilizando distintos tags HTML, por lo que nuevamente los usuarios de Firefox estaríamos desprotegidos.

Sin embargo verificando y probando esto no he podido lograr pasar la protección de la última versión de NoScript 1.8.1.9 (aún no oficial) y en cuyas mejoras Maone (el autor de NoScript) describe que el tag OBJECT es tratado de la misma manera que un tag IFRAME, por lo que sería bloqueado. Si alguien ha logrado pasar la protección puede dejar un comentario.

Para ver el funcionamiento se puede ver la PoC de Clickjacking realizada en Segu-Info. Por supuesto, con NoScript instalado la misma no funciona.

Actualización 06/10/2008: Maone confirma lo que decía arriba y se habilita la protección de IFRAMES por defecto y en 0x000000 confirman lo dicho por Maone. Además Maone también explica algunas formas de disminuir el riesgo en otros navegadores.

Cristian

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!