maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-web/clickjacking.md'] to es

Browse Source
This commit is contained in:
Translator 2025-01-06 10:28:27 +00:00
parent 47bbc9e7a6
commit ed4ac73b45
1 changed files with 17 additions and 8 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

25
src/pentesting-web/clickjacking.md
View File

@ -14,8 +14,8 @@ A veces es posible **llenar el valor de los campos de un formulario usando pará
Si necesitas que el usuario **llene un formulario** pero no quieres pedirle directamente que escriba información específica (como el correo electrónico o una contraseña específica que conoces), puedes simplemente pedirle que **Drag\&Drop** algo que escriba tus datos controlados como en [**este ejemplo**](https://lutfumertceylan.com.tr/posts/clickjacking-acc-takeover-drag-drop/).
### Carga útil básica
```markup
### Carga Útil Básica
```css
<style>
iframe {
position:relative;
@ -35,7 +35,7 @@ z-index: 1;
<iframe src="https://vulnerable.com/email?email=asd@asd.asd"></iframe>
```
### Carga útil de múltiples pasos
```markup
```css
<style>
iframe {
position:relative;
@ -59,7 +59,7 @@ left:210px;
<iframe src="https://vulnerable.net/account"></iframe>
```
### Drag\&Drop + Click payload
```markup
```css
<html>
<head>
<style>
@ -92,7 +92,16 @@ background: #F00;
Si has identificado un **ataque XSS que requiere que un usuario haga clic** en algún elemento para **activar** el XSS y la página es **vulnerable a clickjacking**, podrías abusar de ello para engañar al usuario para que haga clic en el botón/enlace.\
Ejemplo:\
Encontraste un **self XSS** en algunos detalles privados de la cuenta (detalles que **solo tú puedes establecer y leer**). La página con el **formulario** para establecer estos detalles es **vulnerable** a **Clickjacking** y puedes **prellenar** el **formulario** con los parámetros GET.\
Un atacante podría preparar un ataque de **Clickjacking** a esa página **prellenando** el **formulario** con la **carga útil XSS** y **engañando** al **usuario** para que **envíe** el formulario. Así, **cuando se envíe el formulario** y los valores sean modificados, el **usuario ejecutará el XSS**.
Un atacante podría preparar un ataque de **Clickjacking** a esa página **prellenando** el **formulario** con la **carga útil XSS** y **engañando** al **usuario** para que **envíe** el formulario. Así, **cuando se envíe el formulario** y se modifiquen los valores, el **usuario ejecutará el XSS**.
### DoubleClickjacking
Primero [explicado en esta publicación](https://securityaffairs.com/172572/hacking/doubleclickjacking-clickjacking-on-major-websites.html), esta técnica pediría a la víctima que haga doble clic en un botón de una página personalizada colocada en una ubicación específica, y usar las diferencias de tiempo entre los eventos mousedown y onclick para cargar la página de la víctima durante el doble clic, de modo que la **víctima realmente haga clic en un botón legítimo en la página de la víctima**.
Un ejemplo se puede ver en este video: [https://www.youtube.com/watch?v=4rGvRRMrD18](https://www.youtube.com/watch?v=4rGvRRMrD18)
> [!WARNING]
> Esta técnica permite engañar al usuario para que haga clic en 1 lugar en la página de la víctima, eludiendo cada protección contra clickjacking. Por lo tanto, el atacante necesita encontrar **acciones sensibles que se pueden realizar con solo 1 clic, como los mensajes de OAuth que aceptan permisos**.
## Estrategias para Mitigar Clickjacking
@ -115,9 +124,9 @@ id="victim_website"
src="https://victim-website.com"
sandbox="allow-forms allow-scripts"></iframe>
```
Los valores `allow-forms` y `allow-scripts` permiten acciones dentro del iframe mientras deshabilitan la navegación de nivel superior. Para asegurar la funcionalidad deseada del sitio objetivo, pueden ser necesarios permisos adicionales como `allow-same-origin` y `allow-modals`, dependiendo del tipo de ataque. Los mensajes de la consola del navegador pueden guiar sobre qué permisos permitir.
Los valores `allow-forms` y `allow-scripts` habilitan acciones dentro del iframe mientras deshabilitan la navegación de nivel superior. Para asegurar la funcionalidad deseada del sitio objetivo, pueden ser necesarios permisos adicionales como `allow-same-origin` y `allow-modals`, dependiendo del tipo de ataque. Los mensajes de la consola del navegador pueden guiar sobre qué permisos permitir.
### Defensas del Lado del Servidor
### Defensas del lado del servidor
#### X-Frame-Options
@ -168,7 +177,7 @@ Esta política permite marcos y trabajadores del mismo origen (self) y https://t
- Deprecación: child-src está siendo eliminado a favor de frame-src y worker-src.
- Comportamiento de Respaldo: Si frame-src está ausente, se utiliza child-src como respaldo para marcos. Si ambos están ausentes, se utiliza default-src.
- Definición Estricta de Fuentes: Incluya solo fuentes confiables en las directivas para prevenir la explotación.
- Definición Estricta de Fuentes: Incluya solo fuentes de confianza en las directivas para prevenir la explotación.
#### Scripts de JavaScript para Romper Marcos