search

Exploiting clickjacking vulnerability to trigger DOM-based XSS

hashtag
Combinación de clickjacking con un ataque DOM XSS

Hasta ahora, hemos considerado el clickjacking como un ataque autónomo. Históricamente, el clickjacking se ha utilizado para realizar acciones como aumentar los «me gusta» en una página de Facebook. Sin embargo, la verdadera potencia del clickjacking se revela cuando se utiliza como vehículo para otro ataque, como un ataque DOM XSS. La implementación de este ataque combinado es relativamente sencilla, suponiendo que el atacante haya identificado primero el exploit XSS. A continuación, el exploit XSS se combina con la URL de destino del iframe para que el usuario haga clic en el botón o enlace y, en consecuencia, ejecute el ataque DOM XSS.

20251005182849.png

hashtag
Lab: Exploiting clickjacking vulnerability to trigger DOM-based XSS

En este laboratorio se necesita enviar la información o data al usuario, ademas de enviar nuestro código para explotar un xss.

20251005183838.png

Para poder insertar el valor en los inputs pondremos loas valores en las urls

Luego de tener solucionado esto, ya podemos crear nuestro código html malicioso.

Una vez que tengamos nuestro tag <div> donde se tiene el boton, podemos cambiar la opacity a 0.00001

20251005184215.png

Luego debemos guardar y enviar al usuario victima.

PreviousClickjacking with a frame buster scriptNextMultistep clickjacking

Last updated