Mediante una herramienta como Jack podemos verificar si un sitio es vulnerable a clickjacking.

La herramienta la podemos descargar de github, y no necesita instalación:

<https://github.com/sensepost/jack>

Como ejemplo, el sitio web original mostraría este login:

image.png

Abrimos la herramienta con el navegador:

image.png

Introducimos la URL y si se carga la página web, es que es vulnerable, solo tenemos que posicionar las cajas de texto encima de las cajas de texto de login:

image.png

Y pulsar el botón View:

image.png

Esto nos crea un sandbox con dos cajas de texto y un botón superponiéndose sobre los originales, solo falta que un usuario introduzca su usuario y contraseña:

image.png

Y la herramienta nos muestra un pop-up con las credenciales introducidas; en la vida real un ciberdelincuente podría sustituir dicho pop-up por un envío de dichas credenciales a una cuenta de correo o una redirección a otra página web.

<aside> 💡

Aunque las cajas de texto que superpone la herramienta se noten mucho, fijaos que se pueden modificar los estilos para adecuarlos a los de la página comprometida.

</aside>