Clickjacking para obtención de shells

Andrew Horton (urbanadventurer) presentó 'Clickjacking for Shells' el 20 de septiembre en la conferencia OWASP Wellington en Nueva Zelanda.

Dos años después de que el mundo fuera advertido sobre la amenaza del clickjacking, las aplicaciones web más populares siguen siendo vulnerables y se sigue subestimando este tipo de ataque. El autor de la presentación demuestra paso a paso la manera de identificar las aplicaciones vulnerables, cómo escribir exploits y también cómo protegerse contra el clickjacking. Además, para demostrar su importancia, publica un exploit 0-day para WordPress v3.1.2 y anteriores con el cual se puede obtener una shell en el servidor web.

Avisos

Aviso en TXT Ver
Aviso en PDF Ver

Código del exploit

Security-Assessment.com WordPress Clickjacking Exploit.zip Descargar

El fichero Zip contiene los siguientes ficheros:
clickjack.php - El exploit clickjacking final
index-1.html - Tutorial 1 de cómo explotar clickjacking
index-2.html - Tutorial 2 de cómo explotar clickjacking
index-2-inner.html - Parte del tutorial 2
README - Descripción
wordpress-add-admin-payload.js - Cross Site Scripting (XSS) Payload
wordpress-upload-shell-payload.js - Cross Site Scripting (XSS) Payload

Presentación

Clickjacking for Shells PDF (Sin video de demo) Descargar

Video


Comentarios