Los codificadores conquistan la seguridad: serie Share & Learn - Clickjacking
Susie abre su correo electrónico para escapar de un informe desagradable que debe entregarse en dos días. Ve un enlace para obtener un iPad gratis en su bandeja de entrada. Tras hacer clic en él, se dirige a un sitio web con una gran portada en la que se lee: «¡Haga clic aquí para obtener su iPad gratis!». Hace clic en el botón, pero en realidad no parece que pase nada. El problema es que algo pasó.
Después de volver a su bandeja de entrada, se da cuenta de que todos sus correos electrónicos se han eliminado. Ni siquiera presionó «borrar» en ninguno de ellos. ¿Qué pasa?
El sitio de correo electrónico ha sido objeto de un ataque de clics. El hackeo de clics engaña a los usuarios para que realicen acciones que no tenían la intención de realizar, y puede ocasionar problemas graves.
Veamos ahora cómo funciona el hackeo de clics, por qué es peligroso y qué pueden hacer los desarrolladores como tú para evitarlo:
Entiende el clickjacking
Hackeo de clics, también denominado «ataque de reparación de la interfaz de usuario», se produce cuando un atacante utiliza varias capas transparentes en una página web para engañar al usuario para que haga clic en un botón o enlace en el que el usuario no tiene intención de hacer clic.
¿Alguna vez te ha quedado un bicho atrapado en tu coche? Vuelan furiosamente contra la ventana intentando salir volando. La intención del bicho es volar hacia lo que parecen árboles y volar al aire libre, sin darse cuenta de que el cristal bloquea su camino.
El clickjacking tiene un diseño similar, excepto que el usuario es el error y tu sitio web es el cristal que bloquea el camino. El usuario ve algo que quiere, como un iPhone gratis. El atacante coloca tu sitio dentro de un marco transparente en la parte superior del anuncio gratuito del iPhone. Cuando el usuario hace clic en el botón para hacerse con el supuesto premio «gratuito», en realidad está haciendo clic en un botón de tu sitio web y realizando una acción que no pretendía.
Por qué es peligroso el hackeo de clics
¿Qué puede hacer un atacante con el clickjacking? Depende en gran medida de la funcionalidad del sitio web en cuestión.
El atacante podría hacer que un usuario dar me gusta o compartir el sitio del atacante en las redes sociales. Esto se puede lograr fácilmente, ya que muchas personas permanecen conectadas a sus cuentas de redes sociales por motivos de comodidad.
Si su sitio se puede colocar en un marco, se puede completar una operación sensible haciendo clic en un botón, y esto puede actuar como un vector de ataque. Por ejemplo, un usuario hace clic para obtener un iPad gratis, pero en su lugar cambia la configuración de la cuenta en tu sitio web para reducir la seguridad de la cuenta. Se produjo un ataque de este tipo contra el Página de configuración del complemento Adobe Flash. La configuración podría colocarse en un marco transparente, engañando al usuario para que permitiera que cualquier animación Flash accediera al micrófono y a la cámara. Los atacantes podían entonces grabar a la víctima, lo que constituía una importante invasión de la privacidad.
Un cliente de correo electrónico podría estar encuadrado en un sitio, lo que haría que el usuario eliminara todos los correos electrónicos de su buzón o los reenviara a una dirección de correo electrónico controlada por el atacante.
La conclusión es que el usuario no puede ver en qué está haciendo clic, por lo que puede convencerse de que haga clic en cualquier cosa. Ya sea para compartir contenido en redes sociales o para descargar malware, las posibilidades son enormes.
Cómo derrotar al clickjacking
El robo de clics se puede prevenir. El forma recomendada prevenir el hackeo de clics es definir un política de seguridad de contenido o CSP, para tu sitio. Con el encabezado de respuesta HTTP «frame ancestors», puedes controlar cómo se puede enmarcar tu sitio.
- «frame-ancestors none»: ningún otro sitio puede enmarcar el tuyo. Esta es la configuración recomendada.
- «frame-ancestors self»: las páginas de tu sitio solo pueden enmarcarse con otras páginas de tu sitio.
- «frame-ancestors self<uri list="">: su sitio puede estar enmarcado por los sitios de las listas de URI y no</uri> por otros.
CSP frame-ancestors no es compatible actualmente con todos los principales navegadores. Utilice el encabezado HTTP «X-Frame-Options» como opción alternativa para estos navegadores.
- DENEGAR: nadie puede enmarcar tu sitio. Esta es la configuración recomendada
- SAMEORIGIN: lo mismo que «self» para CSP. Puedes enmarcar tu propio contenido, pero nadie más puede hacerlo.
- <uri>ALLOW-FROM: permite que la URI especificada enmarque el contenido</uri>.
No dejes que te secuestren
El hackeo de clics es un ataque inteligente y engañoso que puede provocar daños en la reputación y pérdidas de ingresos si los atacantes pueden manipular tu producto. Consulta nuestros recursos de aprendizaje gratuitos para obtener más información sobre el hackeo de clics.
Usa una política de seguridad del contenido y un encabezado «X-Frame-Options» para evitar que otros usen tu sitio de forma malintencionada. No permitas que los atacantes manipulen a tus usuarios. No dejes que te roben los clics.
Veamos ahora cómo funciona el hackeo de clics, por qué es peligroso y qué pueden hacer los desarrolladores como tú para evitarlo.
Jaap Karan Singh是一位安全编码布道者,首席辛格和Secure Code Warrior 的共同创始人。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示
Jaap Karan Singh是一位安全编码布道者,首席辛格和Secure Code Warrior 的共同创始人。
Susie abre su correo electrónico para escapar de un informe desagradable que debe entregarse en dos días. Ve un enlace para obtener un iPad gratis en su bandeja de entrada. Tras hacer clic en él, se dirige a un sitio web con una gran portada en la que se lee: «¡Haga clic aquí para obtener su iPad gratis!». Hace clic en el botón, pero en realidad no parece que pase nada. El problema es que algo pasó.
Después de volver a su bandeja de entrada, se da cuenta de que todos sus correos electrónicos se han eliminado. Ni siquiera presionó «borrar» en ninguno de ellos. ¿Qué pasa?
El sitio de correo electrónico ha sido objeto de un ataque de clics. El hackeo de clics engaña a los usuarios para que realicen acciones que no tenían la intención de realizar, y puede ocasionar problemas graves.
Veamos ahora cómo funciona el hackeo de clics, por qué es peligroso y qué pueden hacer los desarrolladores como tú para evitarlo:
Entiende el clickjacking
Hackeo de clics, también denominado «ataque de reparación de la interfaz de usuario», se produce cuando un atacante utiliza varias capas transparentes en una página web para engañar al usuario para que haga clic en un botón o enlace en el que el usuario no tiene intención de hacer clic.
¿Alguna vez te ha quedado un bicho atrapado en tu coche? Vuelan furiosamente contra la ventana intentando salir volando. La intención del bicho es volar hacia lo que parecen árboles y volar al aire libre, sin darse cuenta de que el cristal bloquea su camino.
El clickjacking tiene un diseño similar, excepto que el usuario es el error y tu sitio web es el cristal que bloquea el camino. El usuario ve algo que quiere, como un iPhone gratis. El atacante coloca tu sitio dentro de un marco transparente en la parte superior del anuncio gratuito del iPhone. Cuando el usuario hace clic en el botón para hacerse con el supuesto premio «gratuito», en realidad está haciendo clic en un botón de tu sitio web y realizando una acción que no pretendía.
Por qué es peligroso el hackeo de clics
¿Qué puede hacer un atacante con el clickjacking? Depende en gran medida de la funcionalidad del sitio web en cuestión.
El atacante podría hacer que un usuario dar me gusta o compartir el sitio del atacante en las redes sociales. Esto se puede lograr fácilmente, ya que muchas personas permanecen conectadas a sus cuentas de redes sociales por motivos de comodidad.
Si su sitio se puede colocar en un marco, se puede completar una operación sensible haciendo clic en un botón, y esto puede actuar como un vector de ataque. Por ejemplo, un usuario hace clic para obtener un iPad gratis, pero en su lugar cambia la configuración de la cuenta en tu sitio web para reducir la seguridad de la cuenta. Se produjo un ataque de este tipo contra el Página de configuración del complemento Adobe Flash. La configuración podría colocarse en un marco transparente, engañando al usuario para que permitiera que cualquier animación Flash accediera al micrófono y a la cámara. Los atacantes podían entonces grabar a la víctima, lo que constituía una importante invasión de la privacidad.
Un cliente de correo electrónico podría estar encuadrado en un sitio, lo que haría que el usuario eliminara todos los correos electrónicos de su buzón o los reenviara a una dirección de correo electrónico controlada por el atacante.
La conclusión es que el usuario no puede ver en qué está haciendo clic, por lo que puede convencerse de que haga clic en cualquier cosa. Ya sea para compartir contenido en redes sociales o para descargar malware, las posibilidades son enormes.
Cómo derrotar al clickjacking
El robo de clics se puede prevenir. El forma recomendada prevenir el hackeo de clics es definir un política de seguridad de contenido o CSP, para tu sitio. Con el encabezado de respuesta HTTP «frame ancestors», puedes controlar cómo se puede enmarcar tu sitio.
- «frame-ancestors none»: ningún otro sitio puede enmarcar el tuyo. Esta es la configuración recomendada.
- «frame-ancestors self»: las páginas de tu sitio solo pueden enmarcarse con otras páginas de tu sitio.
- «frame-ancestors self<uri list="">: su sitio puede estar enmarcado por los sitios de las listas de URI y no</uri> por otros.
CSP frame-ancestors no es compatible actualmente con todos los principales navegadores. Utilice el encabezado HTTP «X-Frame-Options» como opción alternativa para estos navegadores.
- DENEGAR: nadie puede enmarcar tu sitio. Esta es la configuración recomendada
- SAMEORIGIN: lo mismo que «self» para CSP. Puedes enmarcar tu propio contenido, pero nadie más puede hacerlo.
- <uri>ALLOW-FROM: permite que la URI especificada enmarque el contenido</uri>.
No dejes que te secuestren
El hackeo de clics es un ataque inteligente y engañoso que puede provocar daños en la reputación y pérdidas de ingresos si los atacantes pueden manipular tu producto. Consulta nuestros recursos de aprendizaje gratuitos para obtener más información sobre el hackeo de clics.
Usa una política de seguridad del contenido y un encabezado «X-Frame-Options» para evitar que otros usen tu sitio de forma malintencionada. No permitas que los atacantes manipulen a tus usuarios. No dejes que te roben los clics.
Susie abre su correo electrónico para escapar de un informe desagradable que debe entregarse en dos días. Ve un enlace para obtener un iPad gratis en su bandeja de entrada. Tras hacer clic en él, se dirige a un sitio web con una gran portada en la que se lee: «¡Haga clic aquí para obtener su iPad gratis!». Hace clic en el botón, pero en realidad no parece que pase nada. El problema es que algo pasó.
Después de volver a su bandeja de entrada, se da cuenta de que todos sus correos electrónicos se han eliminado. Ni siquiera presionó «borrar» en ninguno de ellos. ¿Qué pasa?
El sitio de correo electrónico ha sido objeto de un ataque de clics. El hackeo de clics engaña a los usuarios para que realicen acciones que no tenían la intención de realizar, y puede ocasionar problemas graves.
Veamos ahora cómo funciona el hackeo de clics, por qué es peligroso y qué pueden hacer los desarrolladores como tú para evitarlo:
Entiende el clickjacking
Hackeo de clics, también denominado «ataque de reparación de la interfaz de usuario», se produce cuando un atacante utiliza varias capas transparentes en una página web para engañar al usuario para que haga clic en un botón o enlace en el que el usuario no tiene intención de hacer clic.
¿Alguna vez te ha quedado un bicho atrapado en tu coche? Vuelan furiosamente contra la ventana intentando salir volando. La intención del bicho es volar hacia lo que parecen árboles y volar al aire libre, sin darse cuenta de que el cristal bloquea su camino.
El clickjacking tiene un diseño similar, excepto que el usuario es el error y tu sitio web es el cristal que bloquea el camino. El usuario ve algo que quiere, como un iPhone gratis. El atacante coloca tu sitio dentro de un marco transparente en la parte superior del anuncio gratuito del iPhone. Cuando el usuario hace clic en el botón para hacerse con el supuesto premio «gratuito», en realidad está haciendo clic en un botón de tu sitio web y realizando una acción que no pretendía.
Por qué es peligroso el hackeo de clics
¿Qué puede hacer un atacante con el clickjacking? Depende en gran medida de la funcionalidad del sitio web en cuestión.
El atacante podría hacer que un usuario dar me gusta o compartir el sitio del atacante en las redes sociales. Esto se puede lograr fácilmente, ya que muchas personas permanecen conectadas a sus cuentas de redes sociales por motivos de comodidad.
Si su sitio se puede colocar en un marco, se puede completar una operación sensible haciendo clic en un botón, y esto puede actuar como un vector de ataque. Por ejemplo, un usuario hace clic para obtener un iPad gratis, pero en su lugar cambia la configuración de la cuenta en tu sitio web para reducir la seguridad de la cuenta. Se produjo un ataque de este tipo contra el Página de configuración del complemento Adobe Flash. La configuración podría colocarse en un marco transparente, engañando al usuario para que permitiera que cualquier animación Flash accediera al micrófono y a la cámara. Los atacantes podían entonces grabar a la víctima, lo que constituía una importante invasión de la privacidad.
Un cliente de correo electrónico podría estar encuadrado en un sitio, lo que haría que el usuario eliminara todos los correos electrónicos de su buzón o los reenviara a una dirección de correo electrónico controlada por el atacante.
La conclusión es que el usuario no puede ver en qué está haciendo clic, por lo que puede convencerse de que haga clic en cualquier cosa. Ya sea para compartir contenido en redes sociales o para descargar malware, las posibilidades son enormes.
Cómo derrotar al clickjacking
El robo de clics se puede prevenir. El forma recomendada prevenir el hackeo de clics es definir un política de seguridad de contenido o CSP, para tu sitio. Con el encabezado de respuesta HTTP «frame ancestors», puedes controlar cómo se puede enmarcar tu sitio.
- «frame-ancestors none»: ningún otro sitio puede enmarcar el tuyo. Esta es la configuración recomendada.
- «frame-ancestors self»: las páginas de tu sitio solo pueden enmarcarse con otras páginas de tu sitio.
- «frame-ancestors self<uri list="">: su sitio puede estar enmarcado por los sitios de las listas de URI y no</uri> por otros.
CSP frame-ancestors no es compatible actualmente con todos los principales navegadores. Utilice el encabezado HTTP «X-Frame-Options» como opción alternativa para estos navegadores.
- DENEGAR: nadie puede enmarcar tu sitio. Esta es la configuración recomendada
- SAMEORIGIN: lo mismo que «self» para CSP. Puedes enmarcar tu propio contenido, pero nadie más puede hacerlo.
- <uri>ALLOW-FROM: permite que la URI especificada enmarque el contenido</uri>.
No dejes que te secuestren
El hackeo de clics es un ataque inteligente y engañoso que puede provocar daños en la reputación y pérdidas de ingresos si los atacantes pueden manipular tu producto. Consulta nuestros recursos de aprendizaje gratuitos para obtener más información sobre el hackeo de clics.
Usa una política de seguridad del contenido y un encabezado «X-Frame-Options» para evitar que otros usen tu sitio de forma malintencionada. No permitas que los atacantes manipulen a tus usuarios. No dejes que te roben los clics.
Susie abre su correo electrónico para escapar de un informe desagradable que debe entregarse en dos días. Ve un enlace para obtener un iPad gratis en su bandeja de entrada. Tras hacer clic en él, se dirige a un sitio web con una gran portada en la que se lee: «¡Haga clic aquí para obtener su iPad gratis!». Hace clic en el botón, pero en realidad no parece que pase nada. El problema es que algo pasó.
Después de volver a su bandeja de entrada, se da cuenta de que todos sus correos electrónicos se han eliminado. Ni siquiera presionó «borrar» en ninguno de ellos. ¿Qué pasa?
El sitio de correo electrónico ha sido objeto de un ataque de clics. El hackeo de clics engaña a los usuarios para que realicen acciones que no tenían la intención de realizar, y puede ocasionar problemas graves.
Veamos ahora cómo funciona el hackeo de clics, por qué es peligroso y qué pueden hacer los desarrolladores como tú para evitarlo:
Entiende el clickjacking
Hackeo de clics, también denominado «ataque de reparación de la interfaz de usuario», se produce cuando un atacante utiliza varias capas transparentes en una página web para engañar al usuario para que haga clic en un botón o enlace en el que el usuario no tiene intención de hacer clic.
¿Alguna vez te ha quedado un bicho atrapado en tu coche? Vuelan furiosamente contra la ventana intentando salir volando. La intención del bicho es volar hacia lo que parecen árboles y volar al aire libre, sin darse cuenta de que el cristal bloquea su camino.
El clickjacking tiene un diseño similar, excepto que el usuario es el error y tu sitio web es el cristal que bloquea el camino. El usuario ve algo que quiere, como un iPhone gratis. El atacante coloca tu sitio dentro de un marco transparente en la parte superior del anuncio gratuito del iPhone. Cuando el usuario hace clic en el botón para hacerse con el supuesto premio «gratuito», en realidad está haciendo clic en un botón de tu sitio web y realizando una acción que no pretendía.
Por qué es peligroso el hackeo de clics
¿Qué puede hacer un atacante con el clickjacking? Depende en gran medida de la funcionalidad del sitio web en cuestión.
El atacante podría hacer que un usuario dar me gusta o compartir el sitio del atacante en las redes sociales. Esto se puede lograr fácilmente, ya que muchas personas permanecen conectadas a sus cuentas de redes sociales por motivos de comodidad.
Si su sitio se puede colocar en un marco, se puede completar una operación sensible haciendo clic en un botón, y esto puede actuar como un vector de ataque. Por ejemplo, un usuario hace clic para obtener un iPad gratis, pero en su lugar cambia la configuración de la cuenta en tu sitio web para reducir la seguridad de la cuenta. Se produjo un ataque de este tipo contra el Página de configuración del complemento Adobe Flash. La configuración podría colocarse en un marco transparente, engañando al usuario para que permitiera que cualquier animación Flash accediera al micrófono y a la cámara. Los atacantes podían entonces grabar a la víctima, lo que constituía una importante invasión de la privacidad.
Un cliente de correo electrónico podría estar encuadrado en un sitio, lo que haría que el usuario eliminara todos los correos electrónicos de su buzón o los reenviara a una dirección de correo electrónico controlada por el atacante.
La conclusión es que el usuario no puede ver en qué está haciendo clic, por lo que puede convencerse de que haga clic en cualquier cosa. Ya sea para compartir contenido en redes sociales o para descargar malware, las posibilidades son enormes.
Cómo derrotar al clickjacking
El robo de clics se puede prevenir. El forma recomendada prevenir el hackeo de clics es definir un política de seguridad de contenido o CSP, para tu sitio. Con el encabezado de respuesta HTTP «frame ancestors», puedes controlar cómo se puede enmarcar tu sitio.
- «frame-ancestors none»: ningún otro sitio puede enmarcar el tuyo. Esta es la configuración recomendada.
- «frame-ancestors self»: las páginas de tu sitio solo pueden enmarcarse con otras páginas de tu sitio.
- «frame-ancestors self<uri list="">: su sitio puede estar enmarcado por los sitios de las listas de URI y no</uri> por otros.
CSP frame-ancestors no es compatible actualmente con todos los principales navegadores. Utilice el encabezado HTTP «X-Frame-Options» como opción alternativa para estos navegadores.
- DENEGAR: nadie puede enmarcar tu sitio. Esta es la configuración recomendada
- SAMEORIGIN: lo mismo que «self» para CSP. Puedes enmarcar tu propio contenido, pero nadie más puede hacerlo.
- <uri>ALLOW-FROM: permite que la URI especificada enmarque el contenido</uri>.
No dejes que te secuestren
El hackeo de clics es un ataque inteligente y engañoso que puede provocar daños en la reputación y pérdidas de ingresos si los atacantes pueden manipular tu producto. Consulta nuestros recursos de aprendizaje gratuitos para obtener más información sobre el hackeo de clics.
Usa una política de seguridad del contenido y un encabezado «X-Frame-Options» para evitar que otros usen tu sitio de forma malintencionada. No permitas que los atacantes manipulen a tus usuarios. No dejes que te roben los clics.
%20(1).avif)
.avif)
