PoC - Iframe Injection

 

Buenas a todos, hace unos días hablamos en Flu Project sobre un par de inyecciones que se habían realizado a los sitios Web de Movistar y la Fundación Autor. En estos posts os comentábamos como mediante un bug en el desarrollo de los Sitios Web era posible la carga de una página externa en un iframe dentro de la Web.

Hoy os hemos preparado un vídeo en el que simularemos uno de estos ataques de Iframe Injection para robar las credenciales de autenticación a un Sitio Web mediante Ingeniería Social. Para ello, hemos hecho una copia del HTML de nuestra página, y lo hemos modificado para añadirle un bug que permita la carga de páginas externas recogidas por GET en un Iframe.

Como siempre, las pruebas se han realizado en un entorno local controlado.

Disfrutadlo:

 

[youtube TeCbORWStCI nolink]