- Wagner Elias – Think Security First - http://wagnerelias.com -

Clickjacking

Posted By Elias Wagner On 26 26UTC October, 2008 @ 1:29 pm In Security Developer | No Comments

Na última conferência AppSec promovida pela OWASP [1] em New York, Jeremiah Grossman e Robert Hansen aka RSnake, sacudiram a conferência após o cancelamento da apresentação onde eles iriam mostrar uma prova de conceito de uma vulnerabilidade que ficou conhecida como Clickjacking (sequestro de clique).

Basicamente a vulnerabilidade possibilita que alguém mal intencionado inclua um botão falso, que leva o usuário a clicar em um link que ele acha ser confiável, mas está sendo manipulado. Eles disponibilizaram um vídeo onde é possível visualizar o PoC. Prestem atenção no ponteiro do mouse!

Clickjacking Camjack Demonstration [2] from Jeremiah Grossman [3] on Vimeo [4].

Segundo os pesquisadores, é possível explorar a falha por características dos browser e do flash player. Uma solução alternativa para o problema é utilizar o plugin No-Script [5].

Article printed from Wagner Elias – Think Security First: http://wagnerelias.com

URL to article: http://wagnerelias.com/2008/10/26/clickjacking/

URLs in this post:

[1] OWASP: http://www.owasp.org

[2] Clickjacking Camjack Demonstration: http://vimeo.com/1912736?pg=embed&sec=1912736

[3] Jeremiah Grossman: http://vimeo.com/jeremiahgrossman?pg=embed&sec=1912736

[4] Vimeo: http://vimeo.com?pg=embed&sec=1912736

[5] No-Script: https://addons.mozilla.org/en-US/firefox/addon/722

Copyright © 2007 Wagner Elias - Think Security First | BCP, BIA, DRP, Security Assessment, Risk Assessment, Security Developer. All rights reserved.