BlogWonderHowTo

Cómo: generar un ataque de clickjacking con Burp Suite para robar los clics de los usuarios

Los usuarios suelen ser el eslabón más débil cuando buscan vulnerabilidades, y no es de extrañar que puedan ser engañados fácilmente. Una forma de hacer esto se llama clickjacking. Este tipo de ataque engaña a la víctima para que haga clic en algo en lo que no pretendía hacer clic, algo que está bajo el control del atacante. Burp Suite contiene una herramienta útil llamada Clickbandit para generar un ataque de clickjacking automáticamente.

Descripción general de clickjacking

El secuestro de clics es una técnica que se utiliza para engañar a un usuario para que haga clic sin saberlo en algo utilizando varias capas, generalmente un botón o enlace, cuando tiene la intención de hacer clic en la capa superior. Esto se puede lograr mediante el uso de iframes ocultos, cuadros de texto u hojas de estilo. Clickjacking, también llamado reparación de la interfaz de usuario, es una combinación de las palabras clic y secuestro. Por lo tanto, el atacante esencialmente está secuestrando los clics del usuario para realizar acciones sin el conocimiento del usuario.

En los últimos años, los “me gusta” de Facebook han sido el objetivo de este tipo de ataque y se ha llegado a conocer como Likejacking. Básicamente, los usuarios desprevenidos serían engañados para que les gustaran las páginas de Facebook que no quisieron.

En esta guía, usaremos la máquina virtual vulnerable Mutillidae, junto con Suite Burp, para demostrar cómo crear rápida y fácilmente un ataque de secuestro de clics.

Usar Clickbandit para crear un ataque

Para comenzar, debemos iniciar Mutillidae y Burp Suite. A continuación, configuraremos Burp para que funcione como proxy en el navegador para que podamos interceptar solicitudes.

En Firefox, vaya a “Preferencias” y desplácese hasta la sección titulada Proxy de red. Haga clic en el botón “Configuración”, seleccione “Configuración manual del proxy” e ingrese 127.0.0.1 como el Proxy HTTP y 8080 como el Puerto. Ahora, marque “Usar este servidor proxy para todos los protocolos” y asegúrese de que esté en blanco debajo Sin proxy para. Haga clic en “Aceptar” y deberíamos estar listos para comenzar.

En Burp, vaya a la pestaña “Proxy” y asegúrese de que “Interceptar está activado” esté habilitado. A continuación, de vuelta en Mutillidae, simplemente navegue hasta la página de inicio donde realizaremos el ataque de clickjacking. Ahora deberíamos ver la solicitud aparecer en Burp.

En la parte superior de la ventana, vaya al menú “Burp” y seleccione “Burp Clickbandit” en el menú desplegable. Aparecerá una nueva ventana con instrucciones para usar esta herramienta.

Siguiendo las instrucciones, haz clic en el botón “Copiar Clickbandit al portapapeles”, que copiará el script al portapapeles. A continuación, en el navegador, vuelva a la página de inicio de Mutillidae. En Burp, podemos reenviar la solicitud o desactivar la función de intercepción para volver a cargar la página.

A continuación, debemos acceder a la consola de JavaScript en el navegador. En Firefox, podemos hacer clic derecho y seleccionar “Inspeccionar elemento”, luego ir a la pestaña “Consola” en la parte superior de la ventana. Luego podemos pegar el script en la consola (en el >>) y presionar Ingresar.

El banner de Clickbandit ahora debería aparecer en la parte superior del navegador, con opciones para comenzar y finalizar la prueba de concepto. También podemos marcar la casilla de verificación “Deshabilitar acciones de clic” para que nuestros clics no se registren mientras estamos grabando el ataque.

Ahora, todo lo que tenemos que hacer es realizar la serie de clics que queremos que haga la víctima. En este caso, simplemente haremos clic en el botón “Iniciar sesión / Registrarse”. Cuando termine, haga clic en “Finalizar” y se presentará la prueba de concepto para su revisión.

Aquí también hay opciones para acercar o alejar, alternar la transparencia, mover la posición del iframe con las teclas de flecha o restablecer el ataque. Cuando esté satisfecho, presione el botón “Guardar” para guardar la prueba de concepto localmente como un archivo HTML para su posterior modificación y uso.

Cuando se realiza el ataque y la víctima hace clic en el iframe oculto que insertamos, aparece un mensaje que transmite la vulnerabilidad.

En este punto, el mensaje se puede modificar en el archivo HTML o se puede insertar un código para realizar más actividades maliciosas.

Prevenir el secuestro de clics

Aunque el clickjacking no es parte del Top 10 de OWASP, todavía representa un peligro significativo para los usuarios desprevenidos. Las consecuencias de este tipo de ataque pueden incluir la simple alteración del sitio web, la exposición de datos confidenciales y la eliminación de información privada. Afortunadamente, hay un par de formas sencillas de defenderse del clickjacking.

Una de las defensas del lado del cliente más fáciles es usar una extensión como NoScript, que contiene una función para evitar que los usuarios hagan clic en objetos invisibles o incrustados.

Otro enfoque más sólido es emplear el uso de antecesores de marco de la Política de seguridad de contenido, una especie de sucesor del encabezado X-Frame-Options, para no permitir el encuadre de otros dominios potencialmente maliciosos. Otra defensa más contra el clickjacking es simplemente asegurarse de que haya un código en su lugar para hacer que el marco actual sea la ventana de nivel superior de la interfaz de usuario en todo momento.

Terminando

El secuestro de clics puede ser un medio valioso de ataque en las situaciones adecuadas, pero a menudo lleva mucho tiempo crear un ataque manualmente. Burp Suite incluye una función llamada Clickbandit para automatizar este proceso, lo que facilita la generación de un ataque. Una vez que se crea una prueba de concepto y se demuestra que existe una vulnerabilidad, todo lo que se necesita es un poco de imaginación para personalizarla para un truco fácil de apuntar y hacer clic.

Imagen de portada de Fotos gratis / Pixabay; Capturas de pantalla de drd_ / Null Byte

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar