Cómo se genera una página de clickjacking con Burp Suite

Estimado de lectura : 5 minutes

Cuando buscamos vulnerabilidades, son los usuarios quienes a menudo son el eslabón más débil. Esto no es sorprendente, porque son realmente fáciles de engañar. Una forma de hacer esto se llama clickjacking. Este tipo de ataque provoca que la víctima haga clic en un lugar donde no iba a hacer clic, y este “en algún lugar” está completamente controlado por el atacante. Burp Suite tiene una herramienta muy útil llamada Clickbandit, que puede generar automáticamente un ataque de clickjacking.

Descripción general del ataque de clickjacking

Clickjacking es una técnica cuya esencia es engañar a un usuario para que haga clic en un elemento de una página web (generalmente un botón o enlace) que utiliza varias capas. Cuando el usuario hace esto, solo hace clic en la capa superior. Esto se hace mediante el uso de iframes ocultos, campos de texto o estilos CSS. El clickjacking también se denomina a veces “corrección de la interfaz de usuario”, que se puede traducir como “corrección de la interfaz de usuario”. La palabra clickjacking en sí es una combinación de las palabras “click” y “secuestro”. Por lo tanto, el atacante esencialmente “roba” los clics del usuario para realizar ciertas acciones sin su conocimiento.

En los últimos años, los me gusta de Facebook se han convertido en el objetivo de este tipo de ataque. Este fenómeno se llamó Likejacking. De hecho, a los usuarios desprevenidos les gustan las páginas de Facebook por engaño, aunque en realidad no iban a hacer esto.

Demostraremos qué tan rápido y simple puede desencadenar un ataque de clickjacking. En esta guía, utilizaremos Mutillidae , una máquina virtual especial con vulnerabilidades y Burp Suite .

Usando Clickbandit para realizar un ataque

Primero necesitamos ejecutar Mutillidae y Burp Suite. A continuación, configuraremos Burp para que funcione como un proxy en el navegador, luego podremos interceptar solicitudes.

En Firefox, vaya a “Preferencias” y desplácese hacia abajo a la sección “Configuración de conexión”. Haga clic en el botón “Configuración”, seleccione “Configuración manual del proxy” e ingrese 127.0.0.1 como el proxy HTTP y 8080 como el puerto. Ahora marque la casilla “Usar este servidor proxy para todos los protocolos” y asegúrese de que la casilla debajo de las palabras “Sin proxy para” esté vacía. Haga clic en “Aceptar” y estaremos listos para seguir adelante.

En Burp, vaya a la pestaña “Proxy” y asegúrese de que “Interceptar está activado” esté habilitado. Luego, después de regresar a Mutillidae, solo ve a la página de inicio donde realizaremos un ataque de clickjacking. Ahora en Burp deberíamos ver una solicitud.

En la parte superior de la ventana, vaya al menú “Burp” y seleccione “Burp Clickbandit” en la lista desplegable. Aparecerá una ventana emergente con instrucciones para usar esta herramienta.

Siguiendo las instrucciones, haga clic en el botón “Copiar Clickbandit al portapapeles” para copiar la secuencia de comandos en el portapapeles. Luego, en su navegador, regrese a la página de inicio de Mutillidae. En Burp, podemos reenviar la solicitud o deshabilitar la función de intercepción para volver a cargar la página.

A continuación, debemos acceder a la consola de JavaScript en el navegador. En Firefox, podemos hacer clic derecho y seleccionar “Inspeccionar elemento”, y luego ir a la pestaña “Consola” en la parte superior de la ventana. Ahora podemos pegar el script en la consola (en el campo con >>) y presionar Enter.

Después de eso, el banner Clickbandit debería aparecer en la parte superior del navegador, que muestra los botones de inicio y finalización (verificación de concepto). También podemos marcar la opción “Desactivar acciones de clic” para que nuestros clics no se registren durante la grabación de un ataque.

Ahora necesitamos completar la serie de clics que la víctima debe hacer. En nuestro caso, solo necesita hacer clic en el botón “Iniciar sesión / Registrarse” (“Iniciar sesión / Registrarse”). Cuando termine, haga clic en el botón “Finalizar”. Se le presentará una plantilla de confirmación para hacer clickjacking.

También hay configuraciones para acercar o alejar, lo que permite la transparencia, mover la posición del elemento del marco flotante con las teclas de flecha o realizar un ataque nuevamente. Si está satisfecho con el resultado, haga clic en el botón “Guardar” para guardar localmente la idea de página propuesta para hacer clic en forma de un archivo HTML para su posterior edición y uso.

Cuando se completa el ataque y la víctima hace clic en un elemento iframe invisible, aparecerá un mensaje de vulnerabilidad.

En este punto, este mensaje puede cambiarse en el archivo HTML o puede insertar más código malicioso en esta página.

Prevención de clickjacking

Aunque el clickjacking no se encuentra entre los diez primeros de la calificación OWASP , para los usuarios desprevenidos, este tipo de ataque aún representa un grave peligro. Las consecuencias de este tipo de ataque pueden incluir una simple desfiguración del sitio web, divulgación o eliminación de datos confidenciales. Afortunadamente, hay algunas maneras fáciles de protegerse contra el clickjacking.

Uno de los métodos de protección más fáciles del lado del cliente es usar extensiones especiales del navegador, como NoScript , que tiene una función que evita que los usuarios hagan clic en objetos invisibles o incrustados.

Otro enfoque más confiable es usar los antepasados ​​de marcos de la Política de seguridad de contenido, una especie de heredero del encabezado X-Frame-Options, que prohíbe el uso de marcos en dominios extranjeros potencialmente maliciosos. Otra forma de protegerse contra el clickjacking es simplemente tener un código que haga que el marco actual sea la interfaz de usuario de más alto nivel.

Conclusión

El clickjacking puede ser un arma de ataque muy valiosa en las situaciones correctas, pero la preparación manual para tales ataques lleva mucho tiempo. Burp Suite tiene una función Clickbandit que automatiza este proceso. Después de crear una página para el ataque y, en la práctica, asegurarse de que exista la vulnerabilidad, todo lo que se requiere para completar con éxito el ataque es un poco para personalizarlo en la situación correcta.

Sé el primero en comentar

Deja un comentario o una pregunta, gracias por visitarme.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.