Vulnerabilidad de CSRF y Clickjacking en Google Docs
Recientemente el investigador de seguridad Christy Mathew Philip demostró un ataque a Google Docs a través de la combinación de una vulnerabilidades de CSRF (Cross Site Request Forgery) y Clickjacking y que puede permitir a un atacante crear un documento en la unidad víctima.
Para aquellos que no son conscientes de Clickjacking, es una técnica donde un atacante engaña a un usuario en la realización de determinadas acciones en un sitio web y ocultando elementos seleccionables dentro de un iframe invisible.
Philip explica cómo esta técnica se puede ejecutar para tomar la cuenta de Google Docs del usuario y robar todo tipo de credenciales con un ataque de phishing. El atacante sólo necesita enviar un URL maliciosa a la víctima, y esta tiene que interactuar con algunos botones, como se puede ver en el siguiente video:
Nota: La vulnerabilidad aun no ha sido corregida por Google.
Cristian de la Redacción de Segu-Info
Para aquellos que no son conscientes de Clickjacking, es una técnica donde un atacante engaña a un usuario en la realización de determinadas acciones en un sitio web y ocultando elementos seleccionables dentro de un iframe invisible.
Cristian de la Redacción de Segu-Info
Excelente Aporte, este ataque es posible gracias a la siguiente premisa "There is no patch to human stupidity"
ResponderBorrarj.lindeman.r