Eli
309meneos

Explicación paso a paso sobre como funciona el clickjacking, con ejemplos

rooibo.wordpress.com/2008/10/05/clickjacking-a-fondo-y-con-e... 
por Ap0 el 05-10-2008 14:56 UTC, publicado el 06-10-2008 15:15 UTC

Explicación completa de que es y como funciona el clickjacking, además, termina con un ejemplo que utiliza para votar noticias en fresqui, según explica, menéame no es vulnerable, ya que no permite abrir la página dentro de un iframe.

 33 comentarios en: tecnología, seguridad karma: 737
etiquetas: clickjacking, fresqui, navegadores, seguridad
negativos: 3  usuarios: 206  anónimos: 103  compartir:  twitter  facebook  friendfeed
últimas relacionadas
  1. #1   » ver comentario
    por --90321-- el 05-10-2008 14:57 UTC
  2. #2   cansinísimo tema... en mi opinion :)
    votos: 2, karma: 14
    por Goldwin el 05-10-2008 14:58 UTC
  3. #3   #2
    ¿Por que? ¿Los fallos de seguridad son cansinos?

    En este caso solo se trata de falsificar "meneos", pero cuando los fallos comprometen información tuya no te parece tan cansino, ¿no?
    votos: 23, karma: 245
    por DZPM el 05-10-2008 15:00 UTC
  4. #4   #2, ¿pero has leido el articulo?
    votos: 4, karma: 50
    por Martes13 el 05-10-2008 15:01 UTC
  5. #5   #0 ouch, mil disculpas por cometerte un negativo por error :S :S :S
    perdón, perdón, perdón...
    votos: 1, karma: 18
    por Samarkanda el 05-10-2008 15:02 UTC
  6. #6   #3 yo creo que el problema y a lo que se refiere #2 es que han habido muchos artículos sobre clickjacking, que no aportaban nada nuevo, y el tema está quemado.

    Sin embargo, en este caso, se aporta un ejemplo real, que ataca a un sitio real, código de ejemplo y una explicación técnica completa de que es, que complementa, y por que existe, etc.

    Es un artículo puramente técnico, no se trata de un artículo para "informar" al usuario de que existe un ataque nuevo llamado clickjacking.
    votos: 10, karma: 114
    por jcarlosn el 05-10-2008 15:03 UTC
  7. #7   #6 exacto. Demasiados artículos sobre el tema... no lo he leido, sé poco sobre el tema la verdad.
    votos: 0, karma: 13
    por Goldwin el 05-10-2008 15:05 UTC
  8. #8   > He creado una página que utilizando las técnicas de clickjacking, crea un botón, que de pulsarlo, estarías votando esta noticia de fresqui:
    > tec.fresqui.com/cientificos-descubren-que-el-sol-no-es-una-esfera-perfa
    > El ejemplo, lo podéis ver aquí, y solo funciona en firefox (paso de internet explorer :):
    > eyeideas.es/clickjacking.html

    :O
    votos: 4, karma: 64
    por DZPM el 05-10-2008 15:10 UTC
  9. #9   » ver comentario
    por --51021-- el 05-10-2008 15:38 UTC
  10. #10   #9 En realidad eso no te libra lo mas mínimo del clickjacking (no confundir con CSRF), fresqui tiene exactamente ese mismo sistema, y es vulnerable.

    meneame no es vulnerable a clickjacking por que no permite cargarlo en un iframe, igual que gmail.

    Edit: vale #9 :lol:
    votos: 0, karma: 11
    por jcarlosn el 05-10-2008 15:39 UTC
  11. #11   » ver comentario
    por --51021-- el 05-10-2008 15:40 UTC
  12. #12   Un gran artículo, interesante y muy explícito. Como siempre un buen trabajo.
    votos: 1, karma: 17
    por cross1 el 05-10-2008 23:40 UTC
  13. #13   Interesante, a ver si inventas algo para ad mierdense..xD
    votos: 0, karma: 6
    por www.sexo1.net el 06-10-2008 00:41 UTC
  14. #14   Firefox + NoScript, bloqueas iframes y cada vez que alguien se intente pasar de listo ves el IFRAME tapando toda la ventana misteriosamente por encima de otros textos o botones. Canta demasiado... xD
    votos: 0, karma: 9
    por xenNews el 06-10-2008 06:13 UTC
  15. #15   #5 castigado dos meneos sin votar por torpe... xD
    votos: 0, karma: 10
    por --20535-- el 06-10-2008 11:07 UTC
  16. #16   meneame.net/search.php?p=tagg :roll:
    votos: 0, karma: 20
    por jm22381 el 06-10-2008 13:39 UTC
  17. #17   Anda!!! Qué curioso! Acabo de ver en la portada de fresqui una noticia con más de 15 votos!!
    votos: 10, karma: 118
    por panchitoide el 06-10-2008 15:10 UTC
  18. #18   >Aunque a mi me gusta hacer los experimentos con meneame, contactar con Ricardo antes de publicar nada, para que lo arregle, y entonces hacer el artículo, esta vez no puedo, por que meneame no es vulnerable a clickjacking, así que voy a hacer el experimento con fresqui.

    Y contacto con fresqui? o no merecen que pierda su tiempo avisando de este fallo?

    Voto provocación por con quien se está ejecutando el fallo.
    votos: 6, karma: 72
    por kesar el 06-10-2008 15:26 UTC
  19. #19   A que fresqui se cae por efecto meneame?
    votos: 7, karma: 98
    por panchitoide el 06-10-2008 15:50 UTC
  20. #20   #18 A lo mejor no es lo mismo, por que Menéame es software libre y se trata de cooperar en la seguridad (es una hipótesis). O son amigos, vaya usted a saber. Por otro lado, si fuera un ataque realmente "maligno" o que pudiera causar un perjuicio real a Fresqui, no creo que lo hubiera publicado. En este caso particular, no importa demasiado, ya lo arreglarán... Pero bueno, que lo responda el autor del blog.
    votos: 2, karma: 35
    por woopi el 06-10-2008 16:37 UTC
  21. #21   Es pura casualidad que meneame esté a salvo. Los iFrames los bloquearon por culpa de eso:
    meneame.net/story/menealo-plugin-wordpress-para-autopromocionar-meneen
    votos: 0, karma: 10
    por Gry el 06-10-2008 17:13 UTC
  22. #22   Hoy descorchan champán en Fresqui al ver una noticia con más de 200 votos xD
    votos: 6, karma: 85
    por rasca el 06-10-2008 17:14 UTC
  23. #23   Pues yo considero que el artículo está de PM porque en lugar de copiar y pegar una noticia y decir cuatro chorradas sensacionalistas hace una análisis técnico, ofrece código, un ejemplo funcional, etc. Dista años luz de las noticias con las cuales algunos lo comparáis. De lo que estamos hartos es del copia y pega ¬¬
    votos: 2, karma: 31
    por vierito5 el 06-10-2008 19:53 UTC
  24. #24   Y si este articulo es un montaje para que todo el mundo acceda al segundo site de ejemplo y así hacer spam sobre la web del que puso el post...

    mmm, creo que vi demasiadas películas de espías últimamente...
    votos: 0, karma: 6
    por sorlak el 06-10-2008 20:53 UTC
  25. #25   Noticia en fresqui: 350 votos al momento que revisé.
    Esta noticia en Menéame: 260 votos.

    ¡La realidad se rompe!
    votos: 2, karma: 41
    por Nirgal el 06-10-2008 20:57 UTC
  26. #26   Genial artículo.

    Pésima reacción de algunos lectores, acudiendo al sitio web y probando en "vivo" el fallo.

    No sería mejor informar a los responsables? No, mejor el escarnio. Niñatos...
    votos: 1, karma: 19
    por kaster el 06-10-2008 21:55 UTC
  27. #27   #26 Reacción completamente normal y previsible. La teoría está muy bien pero a todos nos gusta experimentarlo en la práctica y pulsar el botón. Gracias a ese instinto hemos evolucionado bastante desde la época de Lucy.
    votos: 1, karma: 25
    por panchitoide el 06-10-2008 22:06 UTC
  28. #28   El problema es que aproximadamente el 99% de la gente se queda en eso: apretar el botón. Porque es fácil, y alguien ya les ha allanado el camino.

    Después de la gracia, un pipi y a la camita a dormir.

    Eso no es evolucionar, ni curiosidad constructiva. Es ser un gilipollas y es seguir siendo un ignorante.
    votos: 1, karma: -2
    por kaster el 06-10-2008 22:22 UTC
  29. #29   #26 Todos confiamos en que gente responsable y solidaria como tú les avise. Porque ya lo hiciste, espero.
    votos: 2, karma: 34
    por Nirgal el 07-10-2008 04:05 UTC
  30. #30   #28 Evidentemente que alguien nos ha allanado el camino, es lo que vulgarmente se conoce como tutorial, y consiste en que uno que sabe mucho de algo o se ha currado un tema explica a los demás en qué consiste.
    Si para ti es seguir siendo un ignorante, mala suerte, no es mi caso, gracias a haberme leido el artículo y haber corroborado lo leido pulsando el botón, sé un poquito más que ayer.
    Ahora ilumínanos y dinos qué deberíamos haber hecho tras pulsar el botón. Si somos unos niñatos y unos gilipollas ignorantes es posible que algo se nos escape. Menos mal que te tenemos aquí para ayudarnos e instruirnos.
    votos: 1, karma: 24
    por panchitoide el 07-10-2008 04:37 UTC
  31. #31   #29 Haces mal en confiar en otros una tarea que tú mismo podrías llevar a cabo. Aunque es más facil reirse de los demás y apretar un botoncito, sin tener en cuenta el trabajo que hay detrás de una página (sea cual sea). Trabajo que, por otra parte, muchos demuestran que no solo ignoran, sino que además desprecian.

    #30

    Tras pulsar el botón deberías haber escrito un correo a los responsables de la página, informándoles de la vulnerabilidad. Ya que eres tan intrépido y tan curioso para leer lo que tu llamas "tutorial" y luego apretar el bendito botoncito, por lo menos demuestra que también tienes algo de ética.

    Ah no, que tú eres de los típicos que se meten en zackyfiles/vilani/elotrolado , investigan poco, preguntan mucho, y se enriquecen más con el trabajo de los demás, para luego pasar a despreciar su trabajo. Vamos, lo que se llama un parásito del conocimiento.

    Sin acritud...
    votos: 0, karma: 8
    por kaster el 07-10-2008 07:35 UTC
  32. #32   #31 "sin acritud" dice
    :lol: :lol: :lol: :lol: :lol: :lol: :lol: :lol: :lol: :lol:
    eres un cachondo
    votos: 1, karma: 24
    por panchitoide el 07-10-2008 07:52 UTC
  33. #33   #31 Después de leerme el artículo, repetí cincuenta veces un mantra, hice cinco inspiraciones... y no pulsé el botoncito. Y no entiendo cuál es exactamente la parte de escarnio. ¿Decir que es algo inédito en fresqui? Lo es.

    Por otra parte, no es como si se estuviera tirando la web. Sigue funcionando y no se ha hecho daño a nadie en el camino. Así que no veo la razón de tanta indignación moral.

    Sin acritud.
    votos: 1, karma: 20
    por Nirgal el 07-10-2008 09:10 UTC
comentarios cerrados

menéame