Nuevos labs cada semana — Accede a todos desde 7,99€/mes

>Inicio>Labs>New labs>Creators>Ranking>Aprender>Empresa>Precios
Iniciar SesiónCrear Cuenta

Labs de Clickjacking

Clickjacking (UI Redressing)

¿Qué es Clickjacking?

El Clickjacking engaña al usuario para que haga clic en elementos invisibles de una página víctima cargada en un iframe transparente superpuesto. Permite ejecutar acciones sensibles (cambiar configuración, autorizar pagos, aceptar permisos) sin que la víctima sea consciente.

¿Por qué practicar Clickjacking?

Es de los bugs más fáciles de detectar (basta comprobar dos cabeceras) pero a menudo se ignoran páginas sensibles. Cuando la acción enmarcada es crítica (borrar cuenta, transferir, autorizar OAuth), el impacto es real y reportable. Buen punto de entrada para hunters que empiezan.

¿Qué aprenderás con los labs de Clickjacking?

Aprenderás a auditar X-Frame-Options y la directiva CSP frame-ancestors, montar un PoC con iframe transparente y overlay, usar opacidad y posicionamiento para alinear el clic de la víctima con la acción objetivo, y reconocer cuándo el impacto justifica el report frente a un simple 'falta cabecera'.

Tipos de Clickjacking que cubrimos

  • Classic UI redressing

    Iframe de la página víctima con opacity:0 sobre un señuelo. El clic del usuario cae en el botón real oculto.

  • Likejacking / action confirmation

    Se enmarca una acción de un clic (seguir, dar permiso, confirmar) y se camufla bajo un botón atractivo.

  • Drag&drop

    Se engaña a la víctima para arrastrar un elemento, exfiltrando datos de un campo enmarcado o rellenando un form.

¿Cómo encontrar y explotar Clickjacking?

Playbook práctico — del recon a la prueba de concepto.

  1. 1

    Comprobar las defensas anti-frame

    Mira si la respuesta trae X-Frame-Options o CSP con frame-ancestors. Si faltan o son laxas, la página es enmarcable.

    curl -sI https://target/account/delete | grep -iE 'x-frame-options|frame-ancestors'
  2. 2

    Confirmar que se puede enmarcar

    Crea un HTML que cargue la página víctima en un iframe. Si se renderiza (no se bloquea), sigue adelante.

    <iframe src="https://target/account/settings" width=800 height=600></iframe>
  3. 3

    Localizar una acción sensible de un clic

    Busca botones que ejecuten algo importante con un solo clic estando logueado: borrar cuenta, autorizar app, cambiar email.

    Botón 'Eliminar cuenta' en /account/settings
  4. 4

    Superponer y volver invisible el iframe

    Pon el iframe con opacidad casi nula sobre un señuelo atractivo y alinea el botón real bajo el del señuelo.

    <style>iframe{opacity:0.05;position:absolute;top:-200px;left:-50px;z-index:2}</style>
  5. 5

    Demostrar el impacto

    Graba cómo un clic en tu señuelo dispara la acción real en la cuenta de la víctima. Eso convierte el 'falta cabecera' en un bug con impacto.

    Señuelo: 'Has ganado un premio, clica aquí' → ejecuta Eliminar cuenta

Cargando labs...

Ver en catálogo completo →

Preguntas frecuentes

¿Qué es el Clickjacking?

Es un ataque de UI redressing en el que se carga la página víctima en un iframe transparente superpuesto a un señuelo. El usuario cree clicar en el señuelo, pero su clic cae en un botón real oculto que ejecuta una acción sensible.

¿Cómo se explota un Clickjacking?

Se enmarca la página objetivo con un iframe casi invisible (opacity baja) y se posiciona para que un botón crítico (borrar cuenta, autorizar OAuth) quede justo bajo un elemento atractivo del señuelo. Cuando la víctima, autenticada, hace clic, ejecuta la acción sin saberlo.

¿Cómo encontrar Clickjacking en bug bounty?

Revisa si las páginas sensibles envían X-Frame-Options o CSP frame-ancestors. Si no, móntalas en un iframe y verifica que se renderizan. El report tiene valor cuando enmarcas una acción de impacto real de un solo clic, no una página informativa.

¿Cómo prevenir el Clickjacking?

Envía la cabecera Content-Security-Policy con frame-ancestors 'none' (o tu dominio), refuerza con X-Frame-Options: DENY/SAMEORIGIN, y para acciones críticas exige confirmación adicional o re-autenticación que no se pueda automatizar con un clic.

¿Diferencia entre Clickjacking y CSRF?

El CSRF envía una petición forjada sin interacción real del usuario, abusando de sus cookies. El Clickjacking sí necesita que la víctima haga clic, pero engañándola con una UI superpuesta. Las defensas también difieren: tokens para CSRF, frame-ancestors para Clickjacking.

Otras categorías relacionadas

CSRF

Cross-Site Request Forgery (CSRF)

XSS

Cross-Site Scripting (XSS)

Open Redirect

Open Redirect

→ Ver todas las vulnerabilidades→ Academy gratuita→ Precios desde 7,99€/mes

Empieza con labs de Clickjacking

Practica Clickjacking (UI Redressing) con labs basados en reportes reales. En español. Desde 7,99€/mes.

Empieza con el primer lab de Clickjacking