Vulnerabilidad de CSRF y Clickjacking en Google Docs

marzo 11, 2013 § 1 comentario

Recientemente el investigador de seguridad Christy Mathew Philip demostró un ataque a Google Docs a través de la combinación de una vulnerabilidades de CSRF (Cross Site Request Forgery) y Clickjacking y que puede permitir a un atacante crear un documento en la unidad víctima.

Para aquellos que no son conscientes de Clickjacking, es una técnica donde un atacante engaña a un usuario en la realización de determinadas acciones en un sitio web y ocultando elementos seleccionables dentro de un iframe invisible.

Philip explica cómo esta técnica se puede ejecutar para tomar la cuenta de Google Docs del usuario y robar todo tipo de credenciales con un ataque de phishing. El atacante sólo necesita enviar un URL maliciosa a la víctima, y esta tiene que interactuar con algunos botones, como se puede ver en el siguiente video:

Nota: La vulnerabilidad aun no ha sido corregida por Google.

Cristian de la Redacción de Segu-Info

Anuncios

§ Una respuesta a Vulnerabilidad de CSRF y Clickjacking en Google Docs

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo Vulnerabilidad de CSRF y Clickjacking en Google Docs en Seguridad Informática.

Meta

A %d blogueros les gusta esto: