Clickjacking exposed (Clickjacking al descubierto)

Hace unos meses, empezó a sonar un nuevo concepto llamado clickjacking. Esta nueva vulnerabilidad se presento en la OWASP AppSec de New York el 24 de Septiembre de 2008, sin llegar a explicar todos los detalles referentes a ésta, dado que existían productos de Adobe que eran vulnerables y podrían llegar a provocar un gran impacto, y a petición de los proveedores se omitió cierta información (S21sec ya informó de la aparición de esta vulnerabilidad en este post).

La vulnerabilidad reside en crear una aplicación web para manipular al usuario y que inconscientemente realice una serie de acciones y clicks donde el usuario malintencionado desee, de esta forma se están realizando acciones en nombre del usuario.

La manipulación, se puede llevar a cabo mediante un simple juego en javascript que indique al usuario que tiene que clicar en diferentes puntos de la pantalla, donde ésta en realidad está compuesta por varias capas. Una de las capas es la que en todo momento está visualizando que es la maligna y otra de estas, mediante la utilización de iframes es la capa que recibe los clicks del usuario ya que está por encima de la anterior, tal y como se muestra en las siguientes figuras:

Página que recibiría el ataque:
Página creada para realizar el ataque (incluyendo la anterior):

Resultado de superponer las dos páginas

Este problema viene dado por una debilidad el combinar el uso de iframes por parte de HTML y estilos, por lo que esta vulnerabilidad se puede explotar a través de prácticamente todos los navegadores (a excepción de navegadores que no acepten javascript, como los de modo texto tipo lynx, o si se desactiva javascript en el resto). Además, no es un problema que puedan solucionar mediante un parche, sinó que es algo más complejo, por lo que la solución a este problema, al menos por ahora, está en manos de los responsables de las aplicaciones Web que existen en Internet, evitando que éstas, se puedan incluir mediante iframes, por parte de aplicaciones de terceros. En el siguiente enlace se encuentra un artículo en el que se trata esta vulnerabilidad en diversos navegadores.

Recientemente, se ha publicado que esta vulnerabilidad afectaba a la red social www.twitter.com. Un usuario creó una aplicación, en la que había un botón donde se podía ver “Don’t click” (no clicar), así que la curiosidad de la gente, hacía que clicasen el botón, por lo que se hacía una petición a twitter en nombre del usuario. Al final twitter le pidió que eliminase la aplicación donde los demás usuarios clicaban el botón.

Una medida que pueden tomar los usuarios, es la de instalarse el plug-in no-script para Firefox, que en su última versión, ya ha tenido en cuenta esta vulnerabilidad por lo que no permite que este tipo de ataques se llevan a cabo.

A continuación se muestra un ejemplo de como llevar a su ejecución esta vulnerabilidad, aprovechando para que el usuario descargue el plug-in para Firefox no-script (para facilitar la prueba de concepto no se ha tenido en cuenta temas de estilo, en función de los distintos navegadores, tan solo se han realizado pruebas en Firefox).

En una próxima entrega se expondrá una prueba de concepto más técnica para que se pueda entender de una manera más clara como afecta la vulnerabilidad.

Puede seguir leyendo aquí y aquí.

Autor: Abel Gomez
Fuente: S21sec Auditoría

Suscríbete a nuestro Boletín