ClickJacking a Ciegas - Mas allá de un Alert

Iniciado por Dedalo, Enero 12, 2013, 11:27:25 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Enero 12, 2013, 11:27:25 AM
Como algunos que me siguen en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta ya se habrán dado cuenta pues ando de Xss Researcher en mis tiempos libres.

Hoy en la madrugada viendo unas cosas de CSS y luego de un rato un poco de researching de xss vi que alguien había escrito sobre esto:

<body style="cursor:none;">

Así es con css podemos hacer que el cursor desaparezca... entonces se pone interesante el caso no creen? lo que a mi se me ocurre así ligeramente digo y si creo un payload que haga que desaparesca el cursor y de click donde yo quiero haciendole creer que está en una posición en la que no...

Ya había visto algo parecido a esto en una época en la que usaban esto para que le dieras like a ciertos enlaces en facebook.

Bueno así a groso modo digamos que vamos a hacer que este poc se ejecute a través de un .js digamos que en nuestra victima es un banco nosotros podemos hacer en un teclado que no cambie posiciones que al dar click al 1 se apriete el 6 al dar click al 8 se apriete el 9 y así su transferencia se haría a nuestra cuenta mas no a la que la victima realmente quería transferirle.


me tocó buscar un buen rato la funcion No tienes permitido ver los links. Registrarse o Entrar a mi cuenta mediante la cual se puede dar una especie de lectura de funciones del js.

Bueno mi interés por esta técnica y mi madrugada y mañana de programador me propuse hacer un PoC code...


Se los dejo acontinuación...

Click para ir al  No tienes permitido ver los links. Registrarse o Entrar a mi cuenta o para ver el No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Espero les haya parecido interesante porque a mi si me parecio...


Saludos,
Dedalo

Post Original: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Enero 13, 2013, 10:51:46 AM #1
El codigo lo que hace es mantener invisible el cursor hasta la hora que vas a hacer click en el onmouseover del link aparece el cursor real para que veas lo que estás haciendo... así funciona... el problema sería que el mouse te salga en todo momento si te sale en todo momento dime que browser usas...



Saludos,
Dedalo
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Enero 13, 2013, 03:35:37 PM #2
Me sucede lo mismo, uso Opera

Por cierto, ¿no sería más fácil cambiar el href del link? Algo como esto:

Código: javascript
document.addEventListener("load", asdf, true);
function asdf() {
	var X = document.getElementById("fake");
	X.addEventListener("mousedown", function () {this.setAttribute("href", "#fake");}, true);
}


Saludos!







No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Enero 13, 2013, 04:00:21 PM #3
si es mas facil les estoy presentando esta opción nada mas...


Saludos,
Dedalo
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario