Skip to main content

Posts

Showing posts from November, 2019

Clickjacking attacks: definition and mitigation mechanisms

What is a clickjacking attack and how is it launched? Clickjacking attacks are also known as user interface (UI) redress attacks and belong to the category of user interface misrepresentation of critical information [0] . In order to launch a clickjacking attack the attacker creates a malicious website by combining multiple layers (transparent and opaque) so as to deceive users who think are clicking a link inside the website they are viewing when in fact they are clicking an invisible superior element [1] . This same technique can be used to “hijack” the pressed keys when the user types in a text field of the malicious website. For the purpose of preparing a website with these characteristics, the attacker needs the following: Be able to embed inside the malicious website the content of another website or web application (the victim of the attack) whose users are to be deceived. This can be achieved by using HTML frame or iframe tags. For example, the website of a bank could

Ataques de clickjacking: definición y mecanismos de prevención

¿Qué es y cómo se lleva acabo un ataque de clickjacking? Los ataques de clickjacking (secuestro de clics) son también conocidos como ataques de redirección de la interfaz del usuario y pertenecen a la categoría de ataques de falsificación de información crítica en la interfaz de usuario [0] . Para llevar a cabo un ataque de clickjacking un atacante crea un sitio web malicioso combinando múltiples capas (transparentes y opacas) para poder engañar a los usuarios, quienes creen estar haciendo clic en un botón o enlace de la página que están visualizando, pero en realidad están haciendo clic en un elemento invisible superior [1] . Esta misma técnica también puede ser usada para "secuestrar" las teclas presionadas cuando el usuario escribe dentro de un campo de texto del sitio web malicioso. Para poder preparar un sitio web con estas características, el atacante necesita lo siguiente: Poder embeber dentro del sitio web malicioso el contenido de otro sitio o aplicación web