elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Salto de restricciones con "clickjacking" en Joomla!
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Salto de restricciones con "clickjacking" en Joomla!  (Leído 1,983 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.662



Ver Perfil WWW
Salto de restricciones con "clickjacking" en Joomla!
« en: 14 Noviembre 2012, 13:52 pm »

Ajay Singh Negi ha descubierto un problema de seguridad en Joomla! Que podría permitir a un atacante eludir restricciones de seguridad y ataques de cross-site request forgery (CSRF) a través de la técnica del "clickjacking"

 

Joomla! es un sistema de gestión de contenidos o CMS, de código abierto y programado en su mayor parte en PHP. Es muy utilizado para la creación de portales y sitios web. La gran cantidad de extensiones existentes y su fácil integración con el sistema proporcionan un gran potencial a este CMS.

CSRF es una técnica que permitiría realizar peticiones HTTP sin una correcta validación. Por ejemplo, imaginemos que un usuario se encuentra validado en una página que necesita autenticación. Desde el navegador, visita otra web que esconde una petición HTTP hacia esa página que necesita validación. Esa petición HTTP, en forma de enlace, se carga por la víctima sin saberlo y realiza una acción sobre la página en la que se encuentra autenticada. Esto sería un fallo de CSRF por parte de la página que necesita autenticación, puesto que no valida correctamente que las peticiones provengan de su propio dominio. Para impedir esto, las páginas suelen introducir un sistema de control que impide que una petición desde otra web sea válida. A su vez, para eludir esto, los atacantes utilizan técnicas como clickjacking (un término acuñado en 2008), que permite realizar ataques CSRF aunque se hayan implementado ciertas técnicas para evitarlo.

El clickjacking puede también ser usado para referirse a cualquier tipo de técnica que implique el que un usuario interactúe con una web creyendo que en realidad lo está haciendo con otra.

El problema es que Joomla! permite a cualquier usuario realizar acciones a través de peticiones HTTP que no son convenientemente validadas. Si un usuario visita un enlace especialmente manipulado hacia una plataforma Joomla!, se podrían realizar acciones sobre el portal y el atacante podría así eludir restricciones de seguridad. No se han dado más detalles sobre la vulnerabilidad, pero probablemente permitiría que un usuario suplantase a otro sin necesidad de conocer la contraseña.

Esta fallo se da en las versiones 2.5.7 y anteriores. Se ha solucionado en la versión 2.5.8 disponible desde www.joomla.org

Más información:

[20121102] - Core - Clickjacking
http://developer.joomla.org/security/news/544-20121102-core-clickjacking.html

Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv

FUENTE :http://unaaldia.hispasec.com/2012/11/salto-de-restricciones-con-clickjacking.html


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
De donde puedo descargar utilidades: "Formas", "Estilos", "Motivos", D
Diseño Gráfico
Ad0nis 2 8,906 Último mensaje 2 Septiembre 2006, 15:48 pm
por Ad0nis
[Ayuda] modificar "start page" en "internet explorer" con "batch"
Scripting
taton 7 17,378 Último mensaje 20 Septiembre 2006, 01:45 am
por taton
recursos visual basic, """"""proceso inmortal"""""
Análisis y Diseño de Malware
Dark4ngel 7 14,264 Último mensaje 3 Noviembre 2011, 10:42 am
por Dark4ngel
¿Es "honesto" diseñar con Joomla?
Desarrollo Web
TheEGG 89 8 4,094 Último mensaje 20 Noviembre 2012, 22:33 pm
por dimitrix
Joomla,WordPress o Web "manual"
Desarrollo Web
EOF 6 3,327 Último mensaje 10 Octubre 2013, 14:54 pm
por #!drvy
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines