Clickjacking

También conocido como: Ataque de UI redress

Ataque de "UI redress" que engaña al usuario para que pulse algo distinto de lo que percibe, superponiendo u ocultando una página objetivo dentro de otra controlada por el atacante.

El clickjacking incrusta una página sensible (por ejemplo, ajustes de cuenta, consentimiento OAuth o confirmación de pago) dentro de un iframe en un sitio malicioso y la disimula visualmente —mediante transparencias, superposiciones CSS u posicionamientos sobre botones señuelo—. El usuario cree estar interactuando con la página visible, pero sus clics, toques o arrastres se entregan al iframe oculto y ejecutan acciones en su sesión autenticada. Existen variantes como cursorjacking, ataques de arrastrar y soltar o doble clickjacking. Las defensas se aplican en la página objetivo: cabecera X-Frame-Options o, preferiblemente, Content-Security-Policy con frame-ancestors, exigir interacción del usuario para acciones sensibles y usar cookies SameSite.

Ejemplos

Una página invita al usuario a "hacer clic para ganar" con un iframe transparente sobre el botón que apunta a un diálogo de permisos de una red social.
Una superposición milimétrica engaña al usuario para que pulse "Aprobar" en una pantalla de consentimiento OAuth de una app del atacante.

Clickjacking

Ejemplos

Términos relacionados

Tabnabbing

Cross-Site Scripting (XSS)

Cross-Site Request Forgery (CSRF)

Open Redirect

Content Security Policy (CSP)

SameSite Cookie

Definición

Ejemplos

Términos relacionados

Tabnabbing

Cross-Site Scripting (XSS)

Cross-Site Request Forgery (CSRF)

Open Redirect

Content Security Policy (CSP)

SameSite Cookie