Vulnerabilidad de CSRF y Clickjacking en Google Docs

marzo 11, 2013 § 1 comentario

Recientemente el investigador de seguridad Christy Mathew Philip demostró un ataque a Google Docs a través de la combinación de una vulnerabilidades de CSRF (Cross Site Request Forgery) y Clickjacking y que puede permitir a un atacante crear un documento en la unidad víctima.

Para aquellos que no son conscientes de Clickjacking, es una técnica donde un atacante engaña a un usuario en la realización de determinadas acciones en un sitio web y ocultando elementos seleccionables dentro de un iframe invisible.

Philip explica cómo esta técnica se puede ejecutar para tomar la cuenta de Google Docs del usuario y robar todo tipo de credenciales con un ataque de phishing. El atacante sólo necesita enviar un URL maliciosa a la víctima, y esta tiene que interactuar con algunos botones, como se puede ver en el siguiente video:

Nota: La vulnerabilidad aun no ha sido corregida por Google.

Cristian de la Redacción de Segu-Info

¿Dónde estoy?

Actualmente estás explorando la categoría web en Seguridad Informática.