Consulta sobre vulnerabilidad en iframe?

Iniciado por Hu3c0, Mayo 24, 2015, 06:31:03 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Mayo 24, 2015, 06:31:03 AM Ultima modificación: Mayo 24, 2015, 12:46:01 PM por Gabriela
Hola estimados compañeros, tengo una duda que me lleva tiempo circulando por mi mente y es la siguiente:
Yo tendo un Webpage de prueba en el que he metido dentro de un iframe una url externa, ¿Esto puede suponer una vulnerabilidad para mi Web?, me gustaría que comentaran y me dijeran si es vulnerable que medidas puedo tomar al respecto.
Gracias
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Al poner un iframe con una dirección externa a tu Web, estas delegando la seguridad a un tercero.
Imaginate que tu Web esta muy muy fortificada y no tiene ninguna vulnerabilidad, pero tienes el iframe a una web muy mal cuidada. Podrian explotar alguna vulnerabilidad de la web que apunta tu iframe para cambiar el contenido que muestra, añadir scripts maliciosos, etc.

Mirate este link:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Muchas gracias por tu pronta respuesta, creo haber entendido donde está el fallo,corrígeme si me equivoco, por lo que he entendido lo que hace vulnerable a mi iframe es que puedan hackear la web a la que apunta modificarla y hacer por ejemplo que apunte a un shell, haciéndose así con el control de mi Web.

Bueno en principio dentro del iframe lo que tengo es un googlemap, que cuando acceden pueden navegar digamoslo así en 3D, vamos para que me entendáis cuando acceden a (dónde estamos ubicados ),coloqué un iframe de googlemap para que tenga una idea el cliente de como llegar a mi ubicación.

Corrígeme si me equivoco, esto poniéndole en el iframe lo que se explica en la página que me has mostrado queda mejor protegida ¿Cierto?.

Muchas gracias nuevamente por tu ayuda
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta No, si logran entrar a la web que pusiste en el IFrame la Shell solo se ejecuta en ese servidor no en el tuyo, no se me ocurre algo potencialmente peligroso para tu web a nivel servidor.

Saludos!

Gracias por contestar y apoyarme en mi duda, como es evidente estoy pegadísimo en seguridad a nivel web, a leer en la url que compartió el compañero kaiser pensé que hackeando la supuesta web a la que apunta mi iframe podían hacer un RFI, no sé si me comprendéis.

Pero en principio creo que no debo preocuparme porque donde apunta mi iframe es a un iframe de googlemap y no creo que esto sea susceptible de vulnerabilidad.

Me encantaría poder aprender algún dia sobre este tema de seguridad Web, pero lo veo dificiísimo por mi situación.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta difícilmente si meten una Shell en el sitio externo van a poder ejecutar ese código en tu servidor y tampoco hacer un RFI por que si intentaran cargar la shell en el iframe se seguiría ejecutando en el servidor externo de esa web porque es HTML, el RFI se manifiesta en la programación del lado del servidor como PHP en la función include() , y respecto a lo ultimo que dijiste te diria que le des para adelante que la Seguridad a nivel Web es algo bastante interesante y de utilidad, y a mi personalmente es algo que me apasiona hace años.

Saludos!.

Como dice @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta solo se ejecutara en el servidor del otro, el problema del iframe son los ataques que se hagan del lado del cliente, por ejemplo a través de javascript.

Por mi parte podéis cerrar el post special thanks to @Epilson && @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta como dije me encantaría aprender Seguridad Web ser un pentester de reputación pero de forma autodidacta es un aprendizaje esparcido ,vacío y lleno de goteras.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

De forma autodidacta es como debes aprender. En titulaciones solo aprendes las bases.
Contacto: @migueljimeno96 -

Como dice el refrán amigo Jimeno para andar hay que primero gatear y si no has tenido la oportunidad de gatear !No por que uno no quiera¡ si no porque la vida te lo impide, pues dudo mucho que se pueda avanzar de forma correcta.
No obstante me encanta ver los conocimientos que se ponen en los talleres de underc0de de incalculable valor para mí ,pero, como digo es un aprendizaje esparcido.
Me gustan muchos los talleres que hacen sobre XSS , Sqli, etc pero se echa en falta el haber gateado antes, porque el que lo explica en un pdf ha gateado antes y tienes las rodillas endurecidas.
Por cierto espero seguir viendo los tutoriales de GusKarseky creo que se llama son extraordinarios y estan muy bien hechos y entendibles
Saludos
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Perdón @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta pero esta vez @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta tiene la razón, este tipo de aprendizaje es muy autodidacta, de echo yo aprendí todo así, se comienza leyendo en foros y de ahí con practica y paciencia se consigue la experiencia.

Saludos!.

Créeme que los profesores solo te van a guiar, quien aprende eres tú. En la era de Internet no me puedes decir que no puedes estudiar seguridad informática desde casa, porque todos los usuarios y staff del foro es como más hemos aprendido.
Ya que quieres usar refranes te dejo uno que se usa en artes marciales: "tu maestro te guiará, pero nadie podrá aprender por ti". Eso se aplica a la seguridad informática también.

Quizá muchas empresas te pidan el título, pero no necesariamente, en mi caso me han ofrecido puestos en pentesting con la condición de que siga con la universidad para obtener el título en un futuro, pero no es estrictamente necesario, por tanto no es obligación sino deseo.
Un saludo y espero que no abandones el aprendizaje autodidacta por no poderte pagar una matrícula para un examen.
Contacto: @migueljimeno96 -

Bueno Jimeno pues en cuanto termine unas cosas que estoy haciendo ya sé a quien voy a preguntarle para iniciarme. Espero que no te importe! la verdad es que me apasiona todo lo relaccionado con este mundo.
Voy ha hacer un curso de php online para este verano y si no estoy equivocado creo que eres todo un experto.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta