Los codificadores conquistan la seguridad: serie Share & Learn - Clickjacking
Susie abre su correo electrónico para escapar de un informe desagradable que debe entregarse en dos días. Ve un enlace para obtener un iPad gratis en su bandeja de entrada. Tras hacer clic en él, se dirige a un sitio web con una gran portada en la que se lee: «¡Haga clic aquí para obtener su iPad gratis!». Hace clic en el botón, pero en realidad no parece que pase nada. El problema es que algo pasó.
Después de volver a su bandeja de entrada, se da cuenta de que todos sus correos electrónicos se han eliminado. Ni siquiera presionó «borrar» en ninguno de ellos. ¿Qué pasa?
El sitio de correo electrónico ha sido objeto de un ataque de clics. El hackeo de clics engaña a los usuarios para que realicen acciones que no tenían la intención de realizar, y puede ocasionar problemas graves.
Veamos ahora cómo funciona el hackeo de clics, por qué es peligroso y qué pueden hacer los desarrolladores como tú para evitarlo:
Entiende el clickjacking
Hackeo de clics, también denominado «ataque de reparación de la interfaz de usuario», se produce cuando un atacante utiliza varias capas transparentes en una página web para engañar al usuario para que haga clic en un botón o enlace en el que el usuario no tiene intención de hacer clic.
¿Alguna vez te ha quedado un bicho atrapado en tu coche? Vuelan furiosamente contra la ventana intentando salir volando. La intención del bicho es volar hacia lo que parecen árboles y volar al aire libre, sin darse cuenta de que el cristal bloquea su camino.
El clickjacking tiene un diseño similar, excepto que el usuario es el error y tu sitio web es el cristal que bloquea el camino. El usuario ve algo que quiere, como un iPhone gratis. El atacante coloca tu sitio dentro de un marco transparente en la parte superior del anuncio gratuito del iPhone. Cuando el usuario hace clic en el botón para hacerse con el supuesto premio «gratuito», en realidad está haciendo clic en un botón de tu sitio web y realizando una acción que no pretendía.
Por qué es peligroso el hackeo de clics
¿Qué puede hacer un atacante con el clickjacking? Depende en gran medida de la funcionalidad del sitio web en cuestión.
El atacante podría hacer que un usuario dar me gusta o compartir el sitio del atacante en las redes sociales. Esto se puede lograr fácilmente, ya que muchas personas permanecen conectadas a sus cuentas de redes sociales por motivos de comodidad.
Si su sitio se puede colocar en un marco, se puede completar una operación sensible haciendo clic en un botón, y esto puede actuar como un vector de ataque. Por ejemplo, un usuario hace clic para obtener un iPad gratis, pero en su lugar cambia la configuración de la cuenta en tu sitio web para reducir la seguridad de la cuenta. Se produjo un ataque de este tipo contra el Página de configuración del complemento Adobe Flash. La configuración podría colocarse en un marco transparente, engañando al usuario para que permitiera que cualquier animación Flash accediera al micrófono y a la cámara. Los atacantes podían entonces grabar a la víctima, lo que constituía una importante invasión de la privacidad.
Un cliente de correo electrónico podría estar encuadrado en un sitio, lo que haría que el usuario eliminara todos los correos electrónicos de su buzón o los reenviara a una dirección de correo electrónico controlada por el atacante.
La conclusión es que el usuario no puede ver en qué está haciendo clic, por lo que puede convencerse de que haga clic en cualquier cosa. Ya sea para compartir contenido en redes sociales o para descargar malware, las posibilidades son enormes.
Cómo derrotar al clickjacking
El robo de clics se puede prevenir. El forma recomendada prevenir el hackeo de clics es definir un política de seguridad de contenido o CSP, para tu sitio. Con el encabezado de respuesta HTTP «frame ancestors», puedes controlar cómo se puede enmarcar tu sitio.
- «frame-ancestors none»: ningún otro sitio puede enmarcar el tuyo. Esta es la configuración recomendada.
- «frame-ancestors self»: las páginas de tu sitio solo pueden enmarcarse con otras páginas de tu sitio.
- «frame-ancestors self<uri list="">: su sitio puede estar enmarcado por los sitios de las listas de URI y no</uri> por otros.
CSP frame-ancestors no es compatible actualmente con todos los principales navegadores. Utilice el encabezado HTTP «X-Frame-Options» como opción alternativa para estos navegadores.
- DENEGAR: nadie puede enmarcar tu sitio. Esta es la configuración recomendada
- SAMEORIGIN: lo mismo que «self» para CSP. Puedes enmarcar tu propio contenido, pero nadie más puede hacerlo.
- <uri>ALLOW-FROM: permite que la URI especificada enmarque el contenido</uri>.
No dejes que te secuestren
El hackeo de clics es un ataque inteligente y engañoso que puede provocar daños en la reputación y pérdidas de ingresos si los atacantes pueden manipular tu producto. Consulta nuestros recursos de aprendizaje gratuitos para obtener más información sobre el hackeo de clics.
Usa una política de seguridad del contenido y un encabezado «X-Frame-Options» para evitar que otros usen tu sitio de forma malintencionada. No permitas que los atacantes manipulen a tus usuarios. No dejes que te roben los clics.
Veamos ahora cómo funciona el hackeo de clics, por qué es peligroso y qué pueden hacer los desarrolladores como tú para evitarlo.
Jaap Karan Singhは、Secure Coding Evangelistであり、Chief Singhであり、Secure Code Warrior の共同設立者です。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Jaap Karan Singhは、Secure Coding Evangelistであり、Chief Singhであり、Secure Code Warrior の共同設立者です。
Susie abre su correo electrónico para escapar de un informe desagradable que debe entregarse en dos días. Ve un enlace para obtener un iPad gratis en su bandeja de entrada. Tras hacer clic en él, se dirige a un sitio web con una gran portada en la que se lee: «¡Haga clic aquí para obtener su iPad gratis!». Hace clic en el botón, pero en realidad no parece que pase nada. El problema es que algo pasó.
Después de volver a su bandeja de entrada, se da cuenta de que todos sus correos electrónicos se han eliminado. Ni siquiera presionó «borrar» en ninguno de ellos. ¿Qué pasa?
El sitio de correo electrónico ha sido objeto de un ataque de clics. El hackeo de clics engaña a los usuarios para que realicen acciones que no tenían la intención de realizar, y puede ocasionar problemas graves.
Veamos ahora cómo funciona el hackeo de clics, por qué es peligroso y qué pueden hacer los desarrolladores como tú para evitarlo:
Entiende el clickjacking
Hackeo de clics, también denominado «ataque de reparación de la interfaz de usuario», se produce cuando un atacante utiliza varias capas transparentes en una página web para engañar al usuario para que haga clic en un botón o enlace en el que el usuario no tiene intención de hacer clic.
¿Alguna vez te ha quedado un bicho atrapado en tu coche? Vuelan furiosamente contra la ventana intentando salir volando. La intención del bicho es volar hacia lo que parecen árboles y volar al aire libre, sin darse cuenta de que el cristal bloquea su camino.
El clickjacking tiene un diseño similar, excepto que el usuario es el error y tu sitio web es el cristal que bloquea el camino. El usuario ve algo que quiere, como un iPhone gratis. El atacante coloca tu sitio dentro de un marco transparente en la parte superior del anuncio gratuito del iPhone. Cuando el usuario hace clic en el botón para hacerse con el supuesto premio «gratuito», en realidad está haciendo clic en un botón de tu sitio web y realizando una acción que no pretendía.
Por qué es peligroso el hackeo de clics
¿Qué puede hacer un atacante con el clickjacking? Depende en gran medida de la funcionalidad del sitio web en cuestión.
El atacante podría hacer que un usuario dar me gusta o compartir el sitio del atacante en las redes sociales. Esto se puede lograr fácilmente, ya que muchas personas permanecen conectadas a sus cuentas de redes sociales por motivos de comodidad.
Si su sitio se puede colocar en un marco, se puede completar una operación sensible haciendo clic en un botón, y esto puede actuar como un vector de ataque. Por ejemplo, un usuario hace clic para obtener un iPad gratis, pero en su lugar cambia la configuración de la cuenta en tu sitio web para reducir la seguridad de la cuenta. Se produjo un ataque de este tipo contra el Página de configuración del complemento Adobe Flash. La configuración podría colocarse en un marco transparente, engañando al usuario para que permitiera que cualquier animación Flash accediera al micrófono y a la cámara. Los atacantes podían entonces grabar a la víctima, lo que constituía una importante invasión de la privacidad.
Un cliente de correo electrónico podría estar encuadrado en un sitio, lo que haría que el usuario eliminara todos los correos electrónicos de su buzón o los reenviara a una dirección de correo electrónico controlada por el atacante.
La conclusión es que el usuario no puede ver en qué está haciendo clic, por lo que puede convencerse de que haga clic en cualquier cosa. Ya sea para compartir contenido en redes sociales o para descargar malware, las posibilidades son enormes.
Cómo derrotar al clickjacking
El robo de clics se puede prevenir. El forma recomendada prevenir el hackeo de clics es definir un política de seguridad de contenido o CSP, para tu sitio. Con el encabezado de respuesta HTTP «frame ancestors», puedes controlar cómo se puede enmarcar tu sitio.
- «frame-ancestors none»: ningún otro sitio puede enmarcar el tuyo. Esta es la configuración recomendada.
- «frame-ancestors self»: las páginas de tu sitio solo pueden enmarcarse con otras páginas de tu sitio.
- «frame-ancestors self<uri list="">: su sitio puede estar enmarcado por los sitios de las listas de URI y no</uri> por otros.
CSP frame-ancestors no es compatible actualmente con todos los principales navegadores. Utilice el encabezado HTTP «X-Frame-Options» como opción alternativa para estos navegadores.
- DENEGAR: nadie puede enmarcar tu sitio. Esta es la configuración recomendada
- SAMEORIGIN: lo mismo que «self» para CSP. Puedes enmarcar tu propio contenido, pero nadie más puede hacerlo.
- <uri>ALLOW-FROM: permite que la URI especificada enmarque el contenido</uri>.
No dejes que te secuestren
El hackeo de clics es un ataque inteligente y engañoso que puede provocar daños en la reputación y pérdidas de ingresos si los atacantes pueden manipular tu producto. Consulta nuestros recursos de aprendizaje gratuitos para obtener más información sobre el hackeo de clics.
Usa una política de seguridad del contenido y un encabezado «X-Frame-Options» para evitar que otros usen tu sitio de forma malintencionada. No permitas que los atacantes manipulen a tus usuarios. No dejes que te roben los clics.
Susie abre su correo electrónico para escapar de un informe desagradable que debe entregarse en dos días. Ve un enlace para obtener un iPad gratis en su bandeja de entrada. Tras hacer clic en él, se dirige a un sitio web con una gran portada en la que se lee: «¡Haga clic aquí para obtener su iPad gratis!». Hace clic en el botón, pero en realidad no parece que pase nada. El problema es que algo pasó.
Después de volver a su bandeja de entrada, se da cuenta de que todos sus correos electrónicos se han eliminado. Ni siquiera presionó «borrar» en ninguno de ellos. ¿Qué pasa?
El sitio de correo electrónico ha sido objeto de un ataque de clics. El hackeo de clics engaña a los usuarios para que realicen acciones que no tenían la intención de realizar, y puede ocasionar problemas graves.
Veamos ahora cómo funciona el hackeo de clics, por qué es peligroso y qué pueden hacer los desarrolladores como tú para evitarlo:
Entiende el clickjacking
Hackeo de clics, también denominado «ataque de reparación de la interfaz de usuario», se produce cuando un atacante utiliza varias capas transparentes en una página web para engañar al usuario para que haga clic en un botón o enlace en el que el usuario no tiene intención de hacer clic.
¿Alguna vez te ha quedado un bicho atrapado en tu coche? Vuelan furiosamente contra la ventana intentando salir volando. La intención del bicho es volar hacia lo que parecen árboles y volar al aire libre, sin darse cuenta de que el cristal bloquea su camino.
El clickjacking tiene un diseño similar, excepto que el usuario es el error y tu sitio web es el cristal que bloquea el camino. El usuario ve algo que quiere, como un iPhone gratis. El atacante coloca tu sitio dentro de un marco transparente en la parte superior del anuncio gratuito del iPhone. Cuando el usuario hace clic en el botón para hacerse con el supuesto premio «gratuito», en realidad está haciendo clic en un botón de tu sitio web y realizando una acción que no pretendía.
Por qué es peligroso el hackeo de clics
¿Qué puede hacer un atacante con el clickjacking? Depende en gran medida de la funcionalidad del sitio web en cuestión.
El atacante podría hacer que un usuario dar me gusta o compartir el sitio del atacante en las redes sociales. Esto se puede lograr fácilmente, ya que muchas personas permanecen conectadas a sus cuentas de redes sociales por motivos de comodidad.
Si su sitio se puede colocar en un marco, se puede completar una operación sensible haciendo clic en un botón, y esto puede actuar como un vector de ataque. Por ejemplo, un usuario hace clic para obtener un iPad gratis, pero en su lugar cambia la configuración de la cuenta en tu sitio web para reducir la seguridad de la cuenta. Se produjo un ataque de este tipo contra el Página de configuración del complemento Adobe Flash. La configuración podría colocarse en un marco transparente, engañando al usuario para que permitiera que cualquier animación Flash accediera al micrófono y a la cámara. Los atacantes podían entonces grabar a la víctima, lo que constituía una importante invasión de la privacidad.
Un cliente de correo electrónico podría estar encuadrado en un sitio, lo que haría que el usuario eliminara todos los correos electrónicos de su buzón o los reenviara a una dirección de correo electrónico controlada por el atacante.
La conclusión es que el usuario no puede ver en qué está haciendo clic, por lo que puede convencerse de que haga clic en cualquier cosa. Ya sea para compartir contenido en redes sociales o para descargar malware, las posibilidades son enormes.
Cómo derrotar al clickjacking
El robo de clics se puede prevenir. El forma recomendada prevenir el hackeo de clics es definir un política de seguridad de contenido o CSP, para tu sitio. Con el encabezado de respuesta HTTP «frame ancestors», puedes controlar cómo se puede enmarcar tu sitio.
- «frame-ancestors none»: ningún otro sitio puede enmarcar el tuyo. Esta es la configuración recomendada.
- «frame-ancestors self»: las páginas de tu sitio solo pueden enmarcarse con otras páginas de tu sitio.
- «frame-ancestors self<uri list="">: su sitio puede estar enmarcado por los sitios de las listas de URI y no</uri> por otros.
CSP frame-ancestors no es compatible actualmente con todos los principales navegadores. Utilice el encabezado HTTP «X-Frame-Options» como opción alternativa para estos navegadores.
- DENEGAR: nadie puede enmarcar tu sitio. Esta es la configuración recomendada
- SAMEORIGIN: lo mismo que «self» para CSP. Puedes enmarcar tu propio contenido, pero nadie más puede hacerlo.
- <uri>ALLOW-FROM: permite que la URI especificada enmarque el contenido</uri>.
No dejes que te secuestren
El hackeo de clics es un ataque inteligente y engañoso que puede provocar daños en la reputación y pérdidas de ingresos si los atacantes pueden manipular tu producto. Consulta nuestros recursos de aprendizaje gratuitos para obtener más información sobre el hackeo de clics.
Usa una política de seguridad del contenido y un encabezado «X-Frame-Options» para evitar que otros usen tu sitio de forma malintencionada. No permitas que los atacantes manipulen a tus usuarios. No dejes que te roben los clics.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
報告書を見るデモを予約する
Jaap Karan Singhは、Secure Coding Evangelistであり、Chief Singhであり、Secure Code Warrior の共同設立者です。
Susie abre su correo electrónico para escapar de un informe desagradable que debe entregarse en dos días. Ve un enlace para obtener un iPad gratis en su bandeja de entrada. Tras hacer clic en él, se dirige a un sitio web con una gran portada en la que se lee: «¡Haga clic aquí para obtener su iPad gratis!». Hace clic en el botón, pero en realidad no parece que pase nada. El problema es que algo pasó.
Después de volver a su bandeja de entrada, se da cuenta de que todos sus correos electrónicos se han eliminado. Ni siquiera presionó «borrar» en ninguno de ellos. ¿Qué pasa?
El sitio de correo electrónico ha sido objeto de un ataque de clics. El hackeo de clics engaña a los usuarios para que realicen acciones que no tenían la intención de realizar, y puede ocasionar problemas graves.
Veamos ahora cómo funciona el hackeo de clics, por qué es peligroso y qué pueden hacer los desarrolladores como tú para evitarlo:
Entiende el clickjacking
Hackeo de clics, también denominado «ataque de reparación de la interfaz de usuario», se produce cuando un atacante utiliza varias capas transparentes en una página web para engañar al usuario para que haga clic en un botón o enlace en el que el usuario no tiene intención de hacer clic.
¿Alguna vez te ha quedado un bicho atrapado en tu coche? Vuelan furiosamente contra la ventana intentando salir volando. La intención del bicho es volar hacia lo que parecen árboles y volar al aire libre, sin darse cuenta de que el cristal bloquea su camino.
El clickjacking tiene un diseño similar, excepto que el usuario es el error y tu sitio web es el cristal que bloquea el camino. El usuario ve algo que quiere, como un iPhone gratis. El atacante coloca tu sitio dentro de un marco transparente en la parte superior del anuncio gratuito del iPhone. Cuando el usuario hace clic en el botón para hacerse con el supuesto premio «gratuito», en realidad está haciendo clic en un botón de tu sitio web y realizando una acción que no pretendía.
Por qué es peligroso el hackeo de clics
¿Qué puede hacer un atacante con el clickjacking? Depende en gran medida de la funcionalidad del sitio web en cuestión.
El atacante podría hacer que un usuario dar me gusta o compartir el sitio del atacante en las redes sociales. Esto se puede lograr fácilmente, ya que muchas personas permanecen conectadas a sus cuentas de redes sociales por motivos de comodidad.
Si su sitio se puede colocar en un marco, se puede completar una operación sensible haciendo clic en un botón, y esto puede actuar como un vector de ataque. Por ejemplo, un usuario hace clic para obtener un iPad gratis, pero en su lugar cambia la configuración de la cuenta en tu sitio web para reducir la seguridad de la cuenta. Se produjo un ataque de este tipo contra el Página de configuración del complemento Adobe Flash. La configuración podría colocarse en un marco transparente, engañando al usuario para que permitiera que cualquier animación Flash accediera al micrófono y a la cámara. Los atacantes podían entonces grabar a la víctima, lo que constituía una importante invasión de la privacidad.
Un cliente de correo electrónico podría estar encuadrado en un sitio, lo que haría que el usuario eliminara todos los correos electrónicos de su buzón o los reenviara a una dirección de correo electrónico controlada por el atacante.
La conclusión es que el usuario no puede ver en qué está haciendo clic, por lo que puede convencerse de que haga clic en cualquier cosa. Ya sea para compartir contenido en redes sociales o para descargar malware, las posibilidades son enormes.
Cómo derrotar al clickjacking
El robo de clics se puede prevenir. El forma recomendada prevenir el hackeo de clics es definir un política de seguridad de contenido o CSP, para tu sitio. Con el encabezado de respuesta HTTP «frame ancestors», puedes controlar cómo se puede enmarcar tu sitio.
- «frame-ancestors none»: ningún otro sitio puede enmarcar el tuyo. Esta es la configuración recomendada.
- «frame-ancestors self»: las páginas de tu sitio solo pueden enmarcarse con otras páginas de tu sitio.
- «frame-ancestors self<uri list="">: su sitio puede estar enmarcado por los sitios de las listas de URI y no</uri> por otros.
CSP frame-ancestors no es compatible actualmente con todos los principales navegadores. Utilice el encabezado HTTP «X-Frame-Options» como opción alternativa para estos navegadores.
- DENEGAR: nadie puede enmarcar tu sitio. Esta es la configuración recomendada
- SAMEORIGIN: lo mismo que «self» para CSP. Puedes enmarcar tu propio contenido, pero nadie más puede hacerlo.
- <uri>ALLOW-FROM: permite que la URI especificada enmarque el contenido</uri>.
No dejes que te secuestren
El hackeo de clics es un ataque inteligente y engañoso que puede provocar daños en la reputación y pérdidas de ingresos si los atacantes pueden manipular tu producto. Consulta nuestros recursos de aprendizaje gratuitos para obtener más información sobre el hackeo de clics.
Usa una política de seguridad del contenido y un encabezado «X-Frame-Options» para evitar que otros usen tu sitio de forma malintencionada. No permitas que los atacantes manipulen a tus usuarios. No dejes que te roben los clics.
目次
Jaap Karan Singhは、Secure Coding Evangelistであり、Chief Singhであり、Secure Code Warrior の共同設立者です。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロード
%20(1).avif)
.avif)
