29 ago 2011

PoC - Iframe Injection

 

Buenas a todos, hace unos días hablamos en Flu Project sobre un par de inyecciones que se habían realizado a los sitios Web de Movistar y la Fundación Autor. En estos posts os comentábamos como mediante un bug en el desarrollo de los Sitios Web era posible la carga de una página externa en un iframe dentro de la Web.

Hoy os hemos preparado un vídeo en el que simularemos uno de estos ataques de Iframe Injection para robar las credenciales de autenticación a un Sitio Web mediante Ingeniería Social. Para ello, hemos hecho una copia del HTML de nuestra página, y lo hemos modificado para añadirle un bug que permita la carga de páginas externas recogidas por GET en un Iframe.

Como siempre, las pruebas se han realizado en un entorno local controlado.

Disfrutadlo:

 

[youtube TeCbORWStCI nolink]

4 comentarios:

  1. genial, muy útil. Lindo ver como siguen posteando con mucha regularidad. Saludos

    ResponderEliminar
  2. @eVeR 1 vez al día al menos ;) a veces 2 :D y seguiremos! :D gracias por tu comentario crack!

    ResponderEliminar
  3. [...] Publicamos una nueva PoC en vídeo, esta vez para mostraros como se puede realizar un ataque de robo de contraseñas mediante Iframe Injection e Ingeniería Social: PoC – Iframe Injection [...]

    ResponderEliminar
  4. Que soluciones puede haber?

    ResponderEliminar