Portada
Hace 15 años | Por Ap0 a rooibo.wordpress.com
Publicado hace 15 años por Ap0 a rooibo.wordpress.com

Explicación paso a paso sobre como funciona el clickjacking, con ejemplos

 rooibo.wordpress.com

Explicación completa de que es y como funciona el clickjacking, además, termina con un ejemplo que utiliza para votar noticias en fresqui, según explica, menéame no es vulnerable, ya que no permite abrir la página dentro de un iframe.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 89 33

Comentarios

DZPM
editado

#2
¿Por que? ¿Los fallos de seguridad son cansinos?

En este caso solo se trata de falsificar "meneos", pero cuando los fallos comprometen información tuya no te parece tan cansino, ¿no?

V 23
K 245
D
editado

Uy, ha dicho Fresqui.

V 11
K 131
p
editado

Anda!!! Qué curioso! Acabo de ver en la portada de fresqui una noticia con más de 15 votos!!

V 10
K 118
D
editado

#3 yo creo que el problema y a lo que se refiere #2 es que han habido muchos artículos sobre clickjacking, que no aportaban nada nuevo, y el tema está quemado.

Sin embargo, en este caso, se aporta un ejemplo real, que ataca a un sitio real, código de ejemplo y una explicación técnica completa de que es, que complementa, y por que existe, etc.

Es un artículo puramente técnico, no se trata de un artículo para "informar" al usuario de que existe un ataque nuevo llamado clickjacking.

V 10
K 114
p
editado

A que fresqui se cae por efecto meneame?

V 7
K 98
rasca
editado

Hoy descorchan champán en Fresqui al ver una noticia con más de 200 votos lol

V 6
K 85
kesar
editado

>Aunque a mi me gusta hacer los experimentos con meneame, contactar con Ricardo antes de publicar nada, para que lo arregle, y entonces hacer el artículo, esta vez no puedo, por que meneame no es vulnerable a clickjacking, así que voy a hacer el experimento con fresqui.

Y contacto con fresqui? o no merecen que pierda su tiempo avisando de este fallo?

Voto provocación por con quien se está ejecutando el fallo.

V 6
K 72
DZPM
editado

> He creado una página que utilizando las técnicas de clickjacking, crea un botón, que de pulsarlo, estarías votando esta noticia de fresqui:
> http://tec.fresqui.com/cientificos-descubren-que-el-sol-no-es-una-esfera-perfecta
> El ejemplo, lo podéis ver aquí, y solo funciona en firefox (paso de internet explorer :):
> http://eyeideas.es/clickjacking.html

V 4
K 64
Martes13
editado

#2, ¿pero has leido el articulo?

V 4
K 50
Nirgal
editado

Noticia en fresqui: 350 votos al momento que revisé.
Esta noticia en Menéame: 260 votos.

¡La realidad se rompe!

V 2
K 41
woopi
editado

#18 A lo mejor no es lo mismo, por que Menéame es software libre y se trata de cooperar en la seguridad (es una hipótesis). O son amigos, vaya usted a saber. Por otro lado, si fuera un ataque realmente "maligno" o que pudiera causar un perjuicio real a Fresqui, no creo que lo hubiera publicado. En este caso particular, no importa demasiado, ya lo arreglarán... Pero bueno, que lo responda el autor del blog.

V 2
K 35
Nirgal
editado

#26 Todos confiamos en que gente responsable y solidaria como tú les avise. Porque ya lo hiciste, espero.

V 2
K 34
D
editado

Edit: Estaba hablando de otra cosa, eso me pasa por no leer las noticias antes de comentar.

V 2
K 33
v
editado

Pues yo considero que el artículo está de PM porque en lugar de copiar y pegar una noticia y decir cuatro chorradas sensacionalistas hace una análisis técnico, ofrece código, un ejemplo funcional, etc. Dista años luz de las noticias con las cuales algunos lo comparáis. De lo que estamos hartos es del copia y pega

V 2
K 31
p
editado

#26 Reacción completamente normal y previsible. La teoría está muy bien pero a todos nos gusta experimentarlo en la práctica y pulsar el botón. Gracias a ese instinto hemos evolucionado bastante desde la época de Lucy.

V 1
K 25
p
editado

#28 Evidentemente que alguien nos ha allanado el camino, es lo que vulgarmente se conoce como tutorial, y consiste en que uno que sabe mucho de algo o se ha currado un tema explica a los demás en qué consiste.
Si para ti es seguir siendo un ignorante, mala suerte, no es mi caso, gracias a haberme leido el artículo y haber corroborado lo leido pulsando el botón, sé un poquito más que ayer.
Ahora ilumínanos y dinos qué deberíamos haber hecho tras pulsar el botón. Si somos unos niñatos y unos gilipollas ignorantes es posible que algo se nos escape. Menos mal que te tenemos aquí para ayudarnos e instruirnos.

V 1
K 24
p
editado

#31 "sin acritud" dice
lol lol lol lol lol lol lol lol lol lol
eres un cachondo

V 1
K 24
Nirgal
editado

#31 Después de leerme el artículo, repetí cincuenta veces un mantra, hice cinco inspiraciones... y no pulsé el botoncito. Y no entiendo cuál es exactamente la parte de escarnio. ¿Decir que es algo inédito en fresqui? Lo es.

Por otra parte, no es como si se estuviera tirando la web. Sigue funcionando y no se ha hecho daño a nadie en el camino. Así que no veo la razón de tanta indignación moral.

Sin acritud.

V 1
K 20
jm22381
editado

http://meneame.net/search.php?p=tag&q=clickjacking roll

V 0
K 20
Candidatas
41
meneos
politica La Audiencia Nacional incoa diligencias por la posible implicación de Otegi en un asesinato de ETA
36
meneos
actualidad El almacenamiento en baterías se convierte en la mayor fuente de suministro en el pico de la tarde en una de las redes más grandes del mundo [EN]
44
meneos
actualidad Amazon espía a sus rivales infiltrando a sus empleados en otras
42
meneos
actualidad Las mujeres que han denunciado a Dinamarca por colocarles anticonceptivos a la fuerza: “El dolor era indescriptible”
13
meneos
tecnología Guía monstruosa del videojuego en PlayStation One
34
meneos
actualidad El nudismo vuelve a estar permitido en Hendaia
27
meneos
actualidad Defensa repatriará a Álex, el español ingresado en Tailandia por una pancreatitis que está acabando con su vida
29
meneos
cultura La Academia de Infantería de Toledo que construyeron miles de presos políticos del franquismo
37
meneos
cultura El Museo del Prado ofrece visitas virtuales gratuitas en gigapixel a su colección
41
meneos
actualidad Irán amenaza con un ataque nuclear si Israel ataca sus centros nucleares [ENG]
91
meneos
politica El Congreso investigará los contratos de Andalucía con Bidafarma, la farmacéutica en la que trabaja la mujer de Moreno Bonilla
23
meneos
actualidad Entrevista a Pavel Durov con subtitulos en español [ENG]
46
meneos
actualidad Madrid denuncia a su proveedor postal por fraude en la entrega de multas: pagó 43 millones por el servicio
D
editado

Si #10 es que no había leido la noticia, pensaba que se basaba simplemente en generar un enlace. Ya he editado, sorry.

V 1
K 20
D
editado

Genial artículo.

Pésima reacción de algunos lectores, acudiendo al sitio web y probando en "vivo" el fallo.

No sería mejor informar a los responsables? No, mejor el escarnio. Niñatos...

V 1
K 19
D
editado

#0 ouch, mil disculpas por cometerte un negativo por error :S
perdón, perdón, perdón...

V 1
K 18
c
editado

Un gran artículo, interesante y muy explícito. Como siempre un buen trabajo.

V 1
K 17
Goldwin
editado

cansinísimo tema... en mi opinion

V 2
K 14
Goldwin
editado

#6 exacto. Demasiados artículos sobre el tema... no lo he leido, sé poco sobre el tema la verdad.

V 0
K 13
D
editado

#9 En realidad eso no te libra lo mas mínimo del clickjacking (no confundir con CSRF), fresqui tiene exactamente ese mismo sistema, y es vulnerable.

meneame no es vulnerable a clickjacking por que no permite cargarlo en un iframe, igual que gmail.

editado:
vale #9 lol

V 0
K 11
D
editado

#5 castigado dos meneos sin votar por torpe... lol

V 0
K 10
Gry
editado

Es pura casualidad que meneame esté a salvo. Los iFrames los bloquearon por culpa de eso:
Menéalo, plugin de Wordpress para autopromocionar lo que te meneen

Hace 16 años | Por --27924-- a 86400.es
Publicado hace 16 años por --27924-- a 86400.es

Menéalo, plugin de Wordpress para autopromocionar ...

 86400.es

V 0
K 10
xenNews
editado

Firefox + NoScript, bloqueas iframes y cada vez que alguien se intente pasar de listo ves el IFRAME tapando toda la ventana misteriosamente por encima de otros textos o botones. Canta demasiado... lol

V 0
K 9
D
editado

#29 Haces mal en confiar en otros una tarea que tú mismo podrías llevar a cabo. Aunque es más facil reirse de los demás y apretar un botoncito, sin tener en cuenta el trabajo que hay detrás de una página (sea cual sea). Trabajo que, por otra parte, muchos demuestran que no solo ignoran, sino que además desprecian.

#30

Tras pulsar el botón deberías haber escrito un correo a los responsables de la página, informándoles de la vulnerabilidad. Ya que eres tan intrépido y tan curioso para leer lo que tu llamas "tutorial" y luego apretar el bendito botoncito, por lo menos demuestra que también tienes algo de ética.

Ah no, que tú eres de los típicos que se meten en zackyfiles/vilani/elotrolado , investigan poco, preguntan mucho, y se enriquecen más con el trabajo de los demás, para luego pasar a despreciar su trabajo. Vamos, lo que se llama un parásito del conocimiento.

Sin acritud...

V 0
K 8
w
editado

Interesante, a ver si inventas algo para ad mierdense..xD

V 0
K 6
s
editado

Y si este articulo es un montaje para que todo el mundo acceda al segundo site de ejemplo y así hacer spam sobre la web del que puso el post...

mmm, creo que vi demasiadas películas de espías últimamente...

V 0
K 6
D
editado

El problema es que aproximadamente el 99% de la gente se queda en eso: apretar el botón. Porque es fácil, y alguien ya les ha allanado el camino.

Después de la gracia, un pipi y a la camita a dormir.

Eso no es evolucionar, ni curiosidad constructiva. Es ser un gilipollas y es seguir siendo un ignorante.

V 1
K -2