Investigador ha demostrado un ataque que combina Clickjacking y un tipo de Cross Site Scripting (XSS) llamado Self-XSS.
El nuevo ataque puede provocar auto-XSS en las páginas que también son vulnerables a Clickjacking, segun el investigador.
Apodado XSSJacking y descubierto por Dylan Ayrey, los abusos de ataque "Pastejacking", es un método para reemplazar el portapapeles del usuario con el contenido controlado por el atacante. Detallado por el mismo investigador, esta técnica sólo puede ser activado en los eventos del navegador, ademas permite a un atacante obtener la ejecución de código engañando a un usuario en la ejecución de comandos que no quieren correr.
XSSJacking, Ayrey explica , se aprovecha de Pastejacking obliga a los usuarios pegar las cargas útiles de XSS en los campos de texto enmarcado de otros dominios. Por otra parte, un atacante podría engañar al usuario haciéndole creer que están interactuando con otra página web, mediante la corrección de los marcos, haciéndolos invisibles, y la superposición en la parte superior de otros elementos de la interfaz.
Auto-XSS y clickjacking son excluidas de los pagos de recompensas de errores, pero el investigador demuestra que hay formas relativamente prácticos para ejecutar cargas útiles XSS en los sitios web que son vulnerables a los dos.
La vulnerabilidad Auto-XSS generalmente se desencadena cuando el usuario escribe en una carga útil XSS que dispara sobre sí mismo. Esto, dice el investigador, se puede ajustar en un campo que sólo el usuario puede ver. Clickjacking, por el contrario, se basa en la elaboración de una página web de un usuario conectado (por lo general mediante el establecimiento de la opacidad de la trama a 0) y obligando a la víctima para interactuar con su cuenta en un sitio web diferente.
Para demostrar el ataque, el investigador creó dos sitios web, la primera de las cuales tiene un campo de entrada vulnerables a la auto-XSS, pero diseñado con sólo el pop una alerta si el código específico script Alerta (1) / script ) es entrado en el campo. El segundo sitio pide a los usuarios a introducir su dirección de correo electrónico dos veces, lo que les incita a utilizar el par de copiar y pegar de comandos (muchos escribe la dirección de correo electrónico en el primer campo, a continuación, copiar y pegar en el segundo campo).
"Aquí es donde entra la Pastejacking. Después de la copia, el contenido de su portapapeles sobrescribirá con script Alerta (1) / script . El segundo campo de correo electrónico es en realidad un marco flotante recortada del sitio vulnerable. Cuando la víctima va a pegar a su correo electrónico en el campo, que en realidad va a pegar la etiqueta script, y desencadenan el XSS en el dominio de la víctima ", señala Ayrey.
