¿Cómo funciona el ataque:
1. Usuario navega a la página, al igual que el botón está incrustado invisible
2. Como usuario mueve el ratón, JavaScript se utiliza para mantener el botón bajo el cursor del usuario.
3. El usuario hace clic lo que creen es un enlace en la página y "Me gusta" contenido del atacante en su lugar.
4. El usuario no ve ninguna notificación de gusto el contenido, lo que se traduce en una historia de noticias RSS.
5. Noticias RSS contiene mención del contenido del atacante, que le permite crecer de forma viral.
Las versiones más avanzadas pueden utilizar cookies para detectar cuando un usuario está regresando lo que en realidad pueden usar el sitio después de hacer clic en el botón presumiblemente similar. Otras modificaciones podrían incluir la detección de cuando un usuario hace clic en el iframe invisible por lo que se elimina sin que el usuario y la navegación vuelve a la normalidad (esto funciona en IE y Firefox, Chrome, pero no que yo sepa, por razones de seguridad iFrame). La demo anterior arbitrariamente oculta el botón después de 10 segundos y se deja el botón sea visible para el efecto.
Twitter se encontró con un ataque muy similar en febrero pasado con la propagación de un botón "No haga clic". La principal diferencia es que Twitter fue capaz de bloquear el agujero mediante la desactivación de iFrame incrusta (básicamente if (window.top! == Window.self), a continuación, Twitter está siendo vilmente iFrame embedded). Desde el propio Button Como es un iFrame, Facebook no puede emplear la misma lógica para detectar clickjacking.
Los usuarios avanzados notarían el cambio de cursor desde el ratón siempre se encuentra por encima de un enlace, y no puede ser anulada ya que está en un iFrame. Sin embargo, durante el flujo ocasional de navegación en este difícilmente go notado.
0 comentarios:
Publicar un comentario