comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Consulta sobre vulnerabilidad en iframe?

  • 12 Respuestas
  • 2566 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Hu3c0

  • *
  • Underc0der
  • Mensajes: 434
  • Actividad:
    1.67%
  • Reputación 0
  • In the middle Netbeans
    • Ver Perfil
« en: Mayo 24, 2015, 06:31:03 am »
Hola estimados compañeros, tengo una duda que me lleva tiempo circulando por mi mente y es la siguiente:
Yo tendo un Webpage de prueba en el que he metido dentro de un iframe una url externa, ¿Esto puede suponer una vulnerabilidad para mi Web?, me gustaría que comentaran y me dijeran si es vulnerable que medidas puedo tomar al respecto.
Gracias
« Última modificación: Mayo 24, 2015, 12:46:01 pm por Gabriela »
You are not allowed to view links. Register or Login

Desconectado kaiser

  • *
  • Underc0der
  • Mensajes: 13
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #1 en: Mayo 24, 2015, 08:14:54 am »
Al poner un iframe con una dirección externa a tu Web, estas delegando la seguridad a un tercero.
Imaginate que tu Web esta muy muy fortificada y no tiene ninguna vulnerabilidad, pero tienes el iframe a una web muy mal cuidada. Podrian explotar alguna vulnerabilidad de la web que apunta tu iframe para cambiar el contenido que muestra, añadir scripts maliciosos, etc.

Mirate este link:
You are not allowed to view links. Register or Login


Desconectado Hu3c0

  • *
  • Underc0der
  • Mensajes: 434
  • Actividad:
    1.67%
  • Reputación 0
  • In the middle Netbeans
    • Ver Perfil
« Respuesta #2 en: Mayo 24, 2015, 12:27:22 pm »
Muchas gracias por tu pronta respuesta, creo haber entendido donde está el fallo,corrígeme si me equivoco, por lo que he entendido lo que hace vulnerable a mi iframe es que puedan hackear la web a la que apunta modificarla y hacer por ejemplo que apunte a un shell, haciéndose así con el control de mi Web.

Bueno en principio dentro del iframe lo que tengo es un googlemap, que cuando acceden pueden navegar digamoslo así en 3D, vamos para que me entendáis cuando acceden a (dónde estamos ubicados ),coloqué un iframe de googlemap para que tenga una idea el cliente de como llegar a mi ubicación.

Corrígeme si me equivoco, esto poniéndole en el iframe lo que se explica en la página que me has mostrado queda mejor protegida ¿Cierto?.

Muchas gracias nuevamente por tu ayuda
You are not allowed to view links. Register or Login

Desconectado EPSILON

  • *
  • Underc0der
  • Mensajes: 365
  • Actividad:
    0%
  • Reputación 0
  • epsilon@crypt.am
    • Ver Perfil
  • Skype: epsilon.root1
« Respuesta #3 en: Mayo 24, 2015, 01:49:25 pm »
@You are not allowed to view links. Register or Login No, si logran entrar a la web que pusiste en el IFrame la Shell solo se ejecuta en ese servidor no en el tuyo, no se me ocurre algo potencialmente peligroso para tu web a nivel servidor.

Saludos!

Desconectado Hu3c0

  • *
  • Underc0der
  • Mensajes: 434
  • Actividad:
    1.67%
  • Reputación 0
  • In the middle Netbeans
    • Ver Perfil
« Respuesta #4 en: Mayo 24, 2015, 02:11:36 pm »
Gracias por contestar y apoyarme en mi duda, como es evidente estoy pegadísimo en seguridad a nivel web, a leer en la url que compartió el compañero kaiser pensé que hackeando la supuesta web a la que apunta mi iframe podían hacer un RFI, no sé si me comprendéis.

Pero en principio creo que no debo preocuparme porque donde apunta mi iframe es a un iframe de googlemap y no creo que esto sea susceptible de vulnerabilidad.

Me encantaría poder aprender algún dia sobre este tema de seguridad Web, pero lo veo dificiísimo por mi situación.
You are not allowed to view links. Register or Login

Desconectado EPSILON

  • *
  • Underc0der
  • Mensajes: 365
  • Actividad:
    0%
  • Reputación 0
  • epsilon@crypt.am
    • Ver Perfil
  • Skype: epsilon.root1
« Respuesta #5 en: Mayo 24, 2015, 02:32:59 pm »
@You are not allowed to view links. Register or Login difícilmente si meten una Shell en el sitio externo van a poder ejecutar ese código en tu servidor y tampoco hacer un RFI por que si intentaran cargar la shell en el iframe se seguiría ejecutando en el servidor externo de esa web porque es HTML, el RFI se manifiesta en la programación del lado del servidor como PHP en la función include() , y respecto a lo ultimo que dijiste te diria que le des para adelante que la Seguridad a nivel Web es algo bastante interesante y de utilidad, y a mi personalmente es algo que me apasiona hace años.

Saludos!.

Desconectado kaiser

  • *
  • Underc0der
  • Mensajes: 13
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #6 en: Mayo 24, 2015, 05:27:32 pm »
Como dice @You are not allowed to view links. Register or Login solo se ejecutara en el servidor del otro, el problema del iframe son los ataques que se hagan del lado del cliente, por ejemplo a través de javascript.

Desconectado Hu3c0

  • *
  • Underc0der
  • Mensajes: 434
  • Actividad:
    1.67%
  • Reputación 0
  • In the middle Netbeans
    • Ver Perfil
« Respuesta #7 en: Mayo 24, 2015, 05:43:24 pm »
Por mi parte podéis cerrar el post special thanks to @Epilson && @You are not allowed to view links. Register or Login como dije me encantaría aprender Seguridad Web ser un pentester de reputación pero de forma autodidacta es un aprendizaje esparcido ,vacío y lleno de goteras.

You are not allowed to view links. Register or Login

Desconectado Jimeno

  • *
  • Underc0der
  • Mensajes: 367
  • Actividad:
    0%
  • Reputación -1
  • NULL
    • Ver Perfil
    • Twitter
  • Skype: migueljimeno96
  • Twitter: "><<img src=y onerror=prompt();>
« Respuesta #8 en: Mayo 24, 2015, 05:50:19 pm »
De forma autodidacta es como debes aprender. En titulaciones solo aprendes las bases.
Contacto: @migueljimeno96 -

Desconectado Hu3c0

  • *
  • Underc0der
  • Mensajes: 434
  • Actividad:
    1.67%
  • Reputación 0
  • In the middle Netbeans
    • Ver Perfil
« Respuesta #9 en: Mayo 24, 2015, 06:27:22 pm »
Como dice el refrán amigo Jimeno para andar hay que primero gatear y si no has tenido la oportunidad de gatear !No por que uno no quiera¡ si no porque la vida te lo impide, pues dudo mucho que se pueda avanzar de forma correcta.
No obstante me encanta ver los conocimientos que se ponen en los talleres de underc0de de incalculable valor para mí ,pero, como digo es un aprendizaje esparcido.
Me gustan muchos los talleres que hacen sobre XSS , Sqli, etc pero se echa en falta el haber gateado antes, porque el que lo explica en un pdf ha gateado antes y tienes las rodillas endurecidas.
Por cierto espero seguir viendo los tutoriales de GusKarseky creo que se llama son extraordinarios y estan muy bien hechos y entendibles
Saludos
You are not allowed to view links. Register or Login

Desconectado EPSILON

  • *
  • Underc0der
  • Mensajes: 365
  • Actividad:
    0%
  • Reputación 0
  • epsilon@crypt.am
    • Ver Perfil
  • Skype: epsilon.root1
« Respuesta #10 en: Mayo 24, 2015, 10:32:09 pm »
Perdón @You are not allowed to view links. Register or Login pero esta vez @You are not allowed to view links. Register or Login tiene la razón, este tipo de aprendizaje es muy autodidacta, de echo yo aprendí todo así, se comienza leyendo en foros y de ahí con practica y paciencia se consigue la experiencia.

Saludos!.

Desconectado Jimeno

  • *
  • Underc0der
  • Mensajes: 367
  • Actividad:
    0%
  • Reputación -1
  • NULL
    • Ver Perfil
    • Twitter
  • Skype: migueljimeno96
  • Twitter: "><<img src=y onerror=prompt();>
« Respuesta #11 en: Mayo 25, 2015, 02:42:10 am »
Créeme que los profesores solo te van a guiar, quien aprende eres tú. En la era de Internet no me puedes decir que no puedes estudiar seguridad informática desde casa, porque todos los usuarios y staff del foro es como más hemos aprendido.
Ya que quieres usar refranes te dejo uno que se usa en artes marciales: "tu maestro te guiará, pero nadie podrá aprender por ti". Eso se aplica a la seguridad informática también.

Quizá muchas empresas te pidan el título, pero no necesariamente, en mi caso me han ofrecido puestos en pentesting con la condición de que siga con la universidad para obtener el título en un futuro, pero no es estrictamente necesario, por tanto no es obligación sino deseo.
Un saludo y espero que no abandones el aprendizaje autodidacta por no poderte pagar una matrícula para un examen.
Contacto: @migueljimeno96 -

Desconectado Hu3c0

  • *
  • Underc0der
  • Mensajes: 434
  • Actividad:
    1.67%
  • Reputación 0
  • In the middle Netbeans
    • Ver Perfil
« Respuesta #12 en: Mayo 25, 2015, 11:01:10 am »
Bueno Jimeno pues en cuanto termine unas cosas que estoy haciendo ya sé a quien voy a preguntarle para iniciarme. Espero que no te importe! la verdad es que me apasiona todo lo relaccionado con este mundo.
Voy ha hacer un curso de php online para este verano y si no estoy equivocado creo que eres todo un experto.

You are not allowed to view links. Register or Login

 

¿Te gustó el post? COMPARTILO!



Dudas sobre el uso de "i2p" y "freenet"

Iniciado por achievement_unlocked

Respuestas: 2
Vistas: 864
Último mensaje Agosto 28, 2016, 10:14:59 pm
por seth
[DUDA] Duda sobre la liabilidad de PHP

Iniciado por fleshworm

Respuestas: 2
Vistas: 966
Último mensaje Mayo 06, 2016, 09:29:38 pm
por fleshworm
¿Alguien me podría explicar sobre "Character Device Files" en linux?

Iniciado por proxy_lainux

Respuestas: 2
Vistas: 1222
Último mensaje Mayo 07, 2016, 12:23:06 pm
por proxy_lainux
Duda sobre libro visual basic 6 cliente servidor de michael macdonald

Iniciado por xavicibi

Respuestas: 2
Vistas: 1156
Último mensaje Marzo 16, 2015, 05:38:34 pm
por IJ[0]SEE
[SOLUCIONADO] ¿Algún curso, taller o libro sobre inteligencia artificial Python?

Iniciado por dolphin

Respuestas: 1
Vistas: 824
Último mensaje Septiembre 10, 2016, 03:39:20 pm
por blackdrake