Búsqueda rápida
ArchivoComo burlar el filtro antiphishing con Javascript
Por Nico. 1 comentario. Guardado en Seguridadfunction framejack(url) {
var ifr = document.createElement('iframe');
ifr.src= url;
document.body.scroll = 'no';
document.body.appendChild(ifr);
ifr.style.position = 'absolute';
ifr.style.width = ifr.style.height = '100%';
ifr.style.top = ifr.style.left = ifr.style.border = 0;
}La función en cuestión es capaz de crear un iframe que ocupa el 100% de la ventana del navegador en la cual carga una dirección web que le pasamos como argumento. De esta forma el usuario verá la página que hemos especificado sin notar cambios en la ventana, ni en la barra de direcciones, hasta que cierre la ventana o manualmente escriba otra dirección.
Hasta ahàtodo bien. Ahora, se me dio por probar que sucedÃÂa si le paso como parámetro una dirección web fraudulenta (phishing). El resultado fue que ni Firefox, ni Opera muestran advertencia alguna, por lo que de esta forma se puede llamar a una página fraudulenta sin que el usuario note que se está en otro dominio, y burlamos al filtro antiphishing del navegador.
Para realizar la prueba pongamos como ejemplo la siguiente página fraudulenta:
http://webmail.interhk.net/B05002/index.htm
Al dar clic en el enlace Firefox mostrará una advertencia de phishing. Ahora veamos con la demostracón que he realizado a continuación:
Las pruebas fueron realizadas con Firefox 2.0.0.3, Opera 9.10 e IE7. Curiosamente IE7 es el único que se salva de la quema. En Opera me desaparecó la opción de verificacón y Firefox no tiene verificacón manual.
Que resultados les da a ustedes?
Actualización :: Salteando el filtro antiphishing con un simple IFRAME
Suscribete via email
RSS Feed
[...] Como burlar el filtro antiphishing con Javascript [...]