Avisos
Vaciar todo
Ayer instalé Security Optimizer by SiteGround
Y hoy —no sé si es casualidad o no— recibo el correo de un tal Arslan Kabeer yaseenplay321@gmail.com
¿Qué debo hacer? A pesar de tener todo actualizado y al día últimamente tengo problemas de seguridad recurrentes.
Hi there,
Team I have found a vulnerability in your site.
bypass X-Frame-Options ( Proxy protection NOT used )
Proxy protection NOT used , i can bypass X-Frame-Options header and recreate clickjacking on the whole domain.
I see that you don't have a reverse proxy protection that allows attackers to proxy your website rather than iframe it.
POC :
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<meta name="description" content="X-Frame-Bypass: Web Component extending IFrame to bypass X-Frame-Options: deny/sameorigin">
<title>X-Frame-Bypass Web Component Demo</title>
<style>
html, body {
margin: 0;
padding: 0;
height: 100%;
overflow: hidden;
}
iframe {
display: block;
width: calc(100% - 40px);
height: calc(100% - 40px);
margin: 20px;
}
img {
position: absolute;
top: 0;
right: 0;
}
</style>
<script src="https://unpkg.com/@ungap/custom-elements-builtin&source=gmail&ust=1730793573552000&usg=AOvVaw1_YT9cFt5nEOeXyclL-bf _"> https://unpkg.com/@ungap/custom-elements-builtin "></script>
<script src="x-frame-bypass.js" type="module"></script>
</head>
<body>
<h1> X-FRAME PROTECTION BYPASSED </h1>
<iframe is="x-frame-bypass" src="https://marianaeguaras.com/&source=gmail&ust=1730793573552000&usg=AOvVaw0BxKY7QsLQ5xDxIbJD-d8 H"> https://marianaeguaras.com/ "></iframe>
</body>
</html>
FIX:
Content-Security-Policy: frame-ancestors 'self' is better, because it checks all frame ancestors
You should implement CSP header to avoid these sort of attacks
Please let me know if you want more information.
Hope that you appreciate my ethical disclosure of this vulnerability, hoping for the bounty.
Thank you!
Regards:
White HaT
Contenido solo visible a usuarios registrados
Respondido : 04/11/2024 8:10 am
Hola Mariana.
La cabecera X-Frame-Options está diseñada para evitar que un sitio se muestre dentro de un iframe en otra página web (como una ventana dentro de otra página), y así proteger a los usuarios de ataques engañosos, llamados clickjacking. En un ataque de clickjacking, una página maliciosa puede "esconder" una página legítima en un iframe y engañar al usuario para que haga clic en cosas sin darse cuenta, como botones de compra o suscripción.
¿Cómo funciona X-Frame-Options?
Cuando un sitio usa X-Frame-Options, le dice al navegador: "No permitas que esta página se cargue en un iframe". Los valores más comunes son:
- DENY: No permite que la página se cargue en ningún iframe, sin importar de dónde venga.
- SAMEORIGIN: Permite cargar la página en un iframe, pero solo si está en el mismo sitio web (mismo dominio).
En resumen, el bypass de X-Frame-Options es una cabecera que podemos añadir e impide que otros usuarios puedan mostrar la web dentro de un Iframe.
Puedes añadir esta cabecera en el archivo .htaccess:
# Para permitir solo iframes en el mismo dominio
Header always set X-Frame-Options "SAMEORIGIN"
Al agregar esta cabecera en WordPress, puedes prevenir que otros sitios carguen tus páginas en un iframe sin permiso.
Un Saludo
Respondido : 04/11/2024 10:08 am
@pepesoler Muchas gracias por tu respuesta y ayuda, Pepe. Ya he colocado el código que me facilitaste en .htaccess
Saludos,
Mariana
Esta publicación ha sido modificada el hace 3 semanas por Mariana
Respondido : 04/11/2024 10:53 am
Hola Mariana.
¡Me alegra saber que te he sido de ayuda! Si tienes más preguntas o necesitas más soporte en cualquier otra cosa, no dudes en avisarnos.
Estamos aquí para lo que necesites.
¡Gracias por confiar en mí! 😊
Un saludo
Respondido : 04/11/2024 11:03 am
