Avisos
Vaciar todo

[Resuelto] Bypass X-Frame-Options ( Proxy protection NOT used )  

 
Mariana
 Mariana
Usuario activo

Ayer instalé Security Optimizer by SiteGround

Y hoy —no sé si es casualidad o no— recibo el correo de un tal Arslan Kabeer yaseenplay321@gmail.com

¿Qué debo hacer? A pesar de tener todo actualizado y al día últimamente tengo problemas de seguridad recurrentes. 

 

 

Hi there,

    Team I have found a vulnerability in your site.
 
    bypass X-Frame-Options ( Proxy protection NOT used )
 
    Proxy protection NOT used , i can bypass X-Frame-Options header and recreate clickjacking on the whole domain.
    I see that you don't have a reverse proxy protection that allows attackers to proxy your website rather than iframe it.
 
 
 
    POC :
 
 
        <!DOCTYPE html>
    <html>
    <head>
            <meta charset="UTF-8">
            <meta name="viewport" content="width=device-width, initial-scale=1.0">
            <meta name="description" content="X-Frame-Bypass: Web Component extending IFrame to bypass X-Frame-Options: deny/sameorigin">
            <title>X-Frame-Bypass Web Component Demo</title>
            <style>
                    html, body {
                    margin: 0;
                    padding: 0;
                    height: 100%;
                            overflow: hidden;
                    }
                    iframe {
                            display: block;
                            width: calc(100% - 40px);
                            height: calc(100% - 40px);
                            margin: 20px;
                    }
                    img {
                            position: absolute;
                            top: 0;
                            right: 0;
                    }
            </style>
 
            <script src="x-frame-bypass.js" type="module"></script>
    </head>
    <body>
            <h1> X-FRAME PROTECTION BYPASSED </h1>
 
</body>
</html>
 
        FIX:
 
 
    Content-Security-Policy: frame-ancestors 'self' is better, because it checks all frame ancestors
    You should implement CSP header to avoid these sort of attacks
 
 
    Please let me know if you want more information.
 
    Hope that you appreciate my ethical disclosure of this vulnerability, hoping for the bounty.
    Thank you!
 
    Regards:
    White HaT 
 
marianaeguaras.com xframe protection bypass

 

Contenido solo visible a usuarios registrados

Respondido : 04/11/2024 8:10 am
Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola Mariana.

La cabecera X-Frame-Options está diseñada para evitar que un sitio se muestre dentro de un iframe en otra página web (como una ventana dentro de otra página), y así proteger a los usuarios de ataques engañosos, llamados clickjacking. En un ataque de clickjacking, una página maliciosa puede "esconder" una página legítima en un iframe y engañar al usuario para que haga clic en cosas sin darse cuenta, como botones de compra o suscripción.

¿Cómo funciona X-Frame-Options?

Cuando un sitio usa X-Frame-Options, le dice al navegador: "No permitas que esta página se cargue en un iframe". Los valores más comunes son:

  • DENY: No permite que la página se cargue en ningún iframe, sin importar de dónde venga.
  • SAMEORIGIN: Permite cargar la página en un iframe, pero solo si está en el mismo sitio web (mismo dominio).
  •  

En resumen, el bypass de X-Frame-Options es una cabecera que podemos añadir e impide que otros usuarios puedan mostrar la web dentro de un Iframe.

Puedes añadir esta cabecera en el archivo .htaccess:

# Para permitir solo iframes en el mismo dominio 

Header always set X-Frame-Options "SAMEORIGIN"

 

Al agregar esta cabecera en WordPress, puedes prevenir que otros sitios carguen tus páginas en un iframe sin permiso.

 

Un Saludo

Respondido : 04/11/2024 10:08 am

optimiza-automaticamente-todas-las-imagenes-de-tu-wordpress

Mariana
 Mariana
Usuario activo

@pepesoler Muchas gracias por tu respuesta y ayuda, Pepe. Ya he colocado el código que me facilitaste en .htaccess

Saludos,
Mariana

 
Esta publicación ha sido modificada el hace 1 mes por Mariana
Respondido : 04/11/2024 10:53 am
Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola Mariana.

¡Me alegra saber que te he sido de ayuda! Si tienes más preguntas o necesitas más soporte en cualquier otra cosa, no dudes en avisarnos.

Estamos aquí para lo que necesites.

¡Gracias por confiar en mí! 😊

 

Un saludo

Respondido : 04/11/2024 11:03 am

Cursos Gratuitos WordPress