SEGURIDAD DE SOFTWARE

Clickjacking

Este tipo de ataques se aplica más que todo en páginas como Facebook y Twitter, lo que permite
realizar acciones de redirección en la web de la víctima. Al utilizar el clickjacking el hacker utiliza
diferentes capas transparentes o en marca de agua para poder engañar al usuario para que cliquee
en un determinado botón o enlace en otro site cuando pretendía hacer clic en la página de nivel
superior.

De esta forma el pirata informático puede secuestrar, por así decirlo, los clics que están destinados a
la página original y los enruta a otra web, que seguramente es propiedad de otra app o dominio.
Estos pueden parecerse a Cross Site Request Forgeries Attack (CSRF).

Otra definición que se puede hacer de forma más precisa es que es conocido como "ataque de
compensación de UI", es cuando un atacante usa varias capas transparentes u opacas para engañar
a un usuario para que haga clic en un botón o enlace en otra página cuando intenta hacer clic en la
página del nivel superior. Por lo tanto, el atacante está "secuestrando" los clics destinados a su
página y enrutando a otra página, muy probablemente propiedad de otra aplicación, dominio o
ambos.
Usando una técnica similar, las pulsaciones de teclas también pueden ser secuestradas. Con una
combinación cuidadosamente elaborada de hojas de estilo, iframes y cuadros de texto, se puede
hacer creer a un usuario que está escribiendo la contraseña en su correo electrónico o cuenta
bancaria, pero en cambio está escribiendo en un marco invisible controlado por el atacante.

Ejemplo.
Por ejemplo, imagina a un atacante que crea un sitio web que tiene un botón que dice " haz clic aquí
para obtener un iPod gratis". Sin embargo, además de esa página web, el atacante cargó
un iframe con su cuenta de correo y alineó exactamente el botón "eliminar todos los mensajes"
directamente en la parte superior del botón "iPod gratis". La víctima intenta hacer clic en el botón
"iPod gratis", pero en realidad hace clic en el botón invisible "eliminar todos los mensajes". En
esencia, el atacante ha "secuestrado" el clic del usuario.

Defendiendo contra Clickjacking.

Hay dos formas principales de evitar el clickjacking:

 Enviar los encabezados de respuesta de directivas de marco de ancestros de política de

seguridad de contenido (CSP) adecuados que indican al navegador que no permita el
encuadre desde otros dominios. (Esto reemplaza a los encabezados HTTP anteriores de X-
Frame-Options).
SEGURIDAD DE SOFTWARE
 Emplear código defensivo en la interfaz de usuario para garantizar que el marco actual sea
la ventana de mayor nivel.

Cross Site Scripting (XSS)

También conocido como Cross Site Scripting (CSS), es una vulnerabilidad bastante empleada y que
se encuentra en la mayoría de las aplicaciones web. Esto le permite al hacker insertar un código
malicioso dentro de las páginas que visitan los internautas para así evitar el acceso al site o poner
en práctica el phishing.

El objetivo del atacante es hacer que la víctima ejecute inadvertidamente un script inyectado
maliciosamente, que se procesa por medio de una aplicación web de confianza. De esta manera, el
cibercriminal puede robar datos sensibles a los que el usuario tie ne acceso; o incluso modificar el
diseño de las aplicaciones para enviar datos sensibles a cualquier destinatario.

En la actualidad existen diversos tipos de ataques XSS, pero hay tres que son los principales. Los
mencionaremos a continuación.

1) Basado en DOM XSS No XSS persistente XSSDOM XSS

2) No persistente XSS
3) Persistente XSS
Mecanismo de ataque
XSS es un vector de ataque que puede ser utilizado para robar información delicada, secuestrar
sesiones de usuario, y comprometer el navegador, subyugando la integridad del sistema. Las
vulnerabilidades XSS han existido desde los primeros días de la Web.

Esta situación es habitualmente causada al no validar correctamente los datos de entrada que son
usados en cierta aplicación, o no sanear la salida adecuadame nte para su presentación como
página web.
Esta vulnerabilidad puede estar presente de las siguientes formas:
 Directa (también llamada Persistente): este tipo de XSS comúnmente filtrado, y consiste en
insertar código HTML peligroso en sitios que lo permitan; incluyendo así etiquetas como
<script> o <iframe>.
 Indirecta (también llamada Reflejada): este tipo de XSS consiste en modificar valores que
la aplicación web utiliza para pasar variables entre dos páginas, sin usar sesiones y sucede
cuando hay un mensaje o una ruta en la URL del navegador, en una cookie, o cualquier otra
cabecera HTTP (en algunos navegadores y aplicaciones web, esto podría extenderse
al DOM del navegador).

Características[editar]
SEGURIDAD DE SOFTWARE
El Cross Site Scripting se divide en tres tipos de ataques:

1.) Persistente: Con ataques XSS persistentes, el código malicioso permanece en la pantalla y el
usuario no es necesariamente identificable. En foros, comunidades o libros de visitas webs, el código
malicioso no se filtra y se presenta en forma de enlaces, ya que estas webs a menudo comprueban
sus entradas. Un ataque XSS persistente puede tener lugar en el caché de una aplicación web o en
una base de datos conectada de dichos sitios web. Los ataques persistentes siempre están en el
lado del servidor y tienen un gran riesgo potencial.
2.) No persistente: Aquí, el usuario recibe un enlace manipulado. Una vez que se hace clic en el
enlace, el código malicioso se iniciará y ejecutará un script. A menudo, los correos electrónicos
falsos de los atacantes se envían para incitar a los usuarios a interactuar. Los atacantes imitan
formularios y sitios web e insertan un script para llegar a las cookies de sesión con los datos del
usuario. El potencial de riesgo asociado a los ataques XSS no persistentes es relativamente bajo, ya
que requieren un alto grado de interacción con el usuario. Siempre están del lado del cliente y
normalmente se utilizan junto con sitios web dinámicos.

3.) Local: En este caso, el código malicioso se enviará directamente a un cliente para ejecutarlo, por
ejemplo, en el navegador. Un ataque XSS local es siempre código malicioso directamente ejecutable
que no depende de una vulnerabilidad en la comunicación servidor-cliente. Más bien, es un ataque
directo en forma de un script que pide cierta información, como argumentos de URL o etiquetas de
script. Después de la interrogación, el código malicioso se ejecuta en segundo plano sin el
conocimiento del usuario. Los ataques XSS locales tienen como objetivo atacar páginas HTML
estáticas, pero también dependen de un usuario que hace clic en un enlace malicioso.

Ejecución remota de código

Esta vulnerabilidad es una de las más conocidas y utilizadas por los hackers. A través de la
ejecución de códigos, el pirata cibernético podrá conocer los errores que puede tener el sitio e
implantar un malware, que a su vez explotará la vulnerabilidad de la página web y le facilitará al
delincuente la ejecución de código de manera remota, trayendo como consecuencia que el hacker
tenga el control absoluto sobre el sistema informático de la web.