Andrew Horton (urbanadventurer) presentó 'Clickjacking for Shells' el 20 de septiembre en la conferencia OWASP Wellington en Nueva Zelanda.Dos años después de que el mundo fuera advertido sobre la amenaza del clickjacking, las aplicaciones web más populares siguen siendo vulnerables y se sigue subestimando este tipo de ataque. El autor de la presentación demuestra paso a paso la manera de identificar las aplicaciones vulnerables, cómo escribir exploits y también cómo protegerse contra el clickjacking. Además, para demostrar su importancia, publica un exploit 0-day para WordPress v3.1.2 y anteriores con el cual se puede obtener una shell en el servidor web.
Avisos
Aviso en TXT Ver
Aviso en PDF Ver
Código del exploit
Security-Assessment.com WordPress Clickjacking Exploit.zip Descargar
El fichero Zip contiene los siguientes ficheros:
clickjack.php - El exploit clickjacking final
index-1.html - Tutorial 1 de cómo explotar clickjacking
index-2.html - Tutorial 2 de cómo explotar clickjacking
index-2-inner.html - Parte del tutorial 2
README - Descripción
wordpress-add-admin-payload.js - Cross Site Scripting (XSS) Payload
wordpress-upload-shell-payload.js - Cross Site Scripting (XSS) Payload
Presentación
Clickjacking for Shells PDF (Sin video de demo) Descargar
Comentarios
Publicar un comentario