En este laboratorio vamos a configurar un OHS para evitar los ataques de clickjacking dentro de nuestras aplicaciones web, debemos tener en cuenta que para este caso, el acceso a la aplicación web se realiza por medio de una capa externa en donde se encuentra alojado nuestro OHS por lo que esta capa es la primer medida de seguridad ante ataques de este tipo.
Pero primero, ¿Qué es un ataque de clickjacking?
También llamado secuestro de clicks, este tipo de ataques lo que intenta hacer es suplantar una página o aplicación web utilizando un iframe transparente, esto se puede colocar como una página superposicionada en otra o bien en un segmento de la página, ya sea un botón, campo de texto, un gesto, etc, siempre teniendo en cuenta que la modificación se verá transparente para el usuario.
iframe: Es un elemento html que se utiliza para incrustar elementos como vídeos, documentos, links, u otros componentes html dentro de una misma página web.
Un ejemplo de esto lo podemos ver en la siguiente imagen:
Un atacante puede colocar un botón transparente, escondido en un iframe, que permita que cuando el usuario presione el botón, en lugar de presionar el botón real, presione el iframe y lo lleve a otra página, el usuario al ver que el botón es propio de la página, no notará la diferencia y debido a esto se pueden presentar muchos tipos de estafas ya que se suplanto la identidad del botón.
Existen muchas formas creativas de hacer este secuestro de clicks, desde ventanas emergentes, ventanas de login, anuncios publicitarios, entre otros.
Cómo configurar un OHS para evitar ataques de Clickjacking
Para evitar y protegernos de este tipo de ataques, basta con incluir una línea de código dentro de nuestro archivo de configuración httpd.conf:
Header always append X-Frame-Options SAMEORIGIN
De manera que se vea así:
Guardamos el archivo y reiniciamos nuestro OHS.
Con esta línea lo que le indicamos al OHS esque siempre permita cargar componentes que vengan de un mismo origen, por lo que si llegase a haber un iframe que no este integrado desde nuestra aplicación en la capa interna, no se cargará, y así podremos evitar el ataque.