Han pasado ya 5 años desde que publiqué el artículo en el que se habla del fallo de seguridad en Google Chrome que permite saltarse la política de bloqueo de JavaScript usando algo tan fácil como un iframe. Hoy toca hacer un poco de resumen de cómo ha evolucionado.

Modificando algunos atributos del iFrame, los atacantes pueden incrustar código peligroso desde otro sitio sin que el usuario se dé cuenta de ello. El malware es uno de los virus más comunes y ahora llega en un novedoso método a través de imágenes PNG como lo menciona Peter Gramantik en el blog de la empresa Securi. Cuando se carga el archivo JavaScript se reconoce como válido, pero tienen una función loadFile()... Artículo original: blog.sucuri.net/2014/02/new-iframe-injections-leverage-png-image-metad

Apache es el servidor web más popular de Internet. En los últimos meses decenas de miles de estos servidores están siendo hackeados y usados servir malware a los usuarios que visitan las web infectadas. Para ello se inyectan iframes invisibles en el contenido original del sitio, iframes que sirven malware al navegador web. La infección es altamente sofisticada y, aunque sabe cómo detectarse, todavía no se comprende cómo sucede ni se sabe cómo evitarla. En el enlace se explica cómo saber si tu servidor está infectado.

Una tienda en línea con sede en Rusia ofrece aumentar el tráfico de un sitio web mediante el hijacking (secuestro) de otros sitios, tras el pago de una módica suma de dinero por la cantidad de visitas que quieras comprar.

Una vulnerabilidad de la página ya solucionada permitía que cualquier web activase el micrófono y la cámara de los usuarios sin que éstos fueran conscientes

De todos es sabido que Facebook y Google no se llevan bien, sobre todo desde que Facebook se hizo compañero de Microsoft (otro gran amigo de Google). La guerra fría entre estos dos gigantes se puede ver en todos los frentes, robo de programadores, patentes, copias de aplicaciones, etc.

En este post, explicamos como conectar nuestra aplicación con Facebook usando el php SDK de github. - Primero necesitamos descargar el archivo facebook.php de github.com y subirlo a nuestro servidor. - Cargamos el archivo facebook.php al inicio de la aplicación (include ‘facebook.php’ o bien requiere ‘facebook’). - Obtenemos los datos que utilizaremos para la conexión de la página de desarrollo de Facebook, abres tu sesión -> desarrollo -> aplicaciones … y aquí te muestran los datos que necesitamos para realizar la conexión. ...

Como Crear una iFrame para Facebook Facil y Gratis!

Yes, the web is filled with AdSense ads. In some sites, it's reported that Google's ad loading take upto 12% of the total page load times.

Si ya no sabes cómo crear pestañas en tus páginas de Facebook (debido a la eliminación de la funcionalidad FBML) en este artículo se muestran unas cuantas alternativas que te facilitarán sobremanera esta tarea

Existen pocos manuales gratuitos de cómo hacer una aplicación desde cero en Facebook, esta es una pequeña contribución con ejemplos y código fuente.

Al entrar en mi blog bajo Wordpress, todos los idnex estaban dañados, no entraba en la Web. Además todos los idnex del resto de subdirectorios estaban modificados con un iframe que alteraba mi codigo. Aquí describo el proceso e indico la solución para que tu página deje de estar caida. Desconozco como conseguir evitar este ataque, aunque espero que Wordpress 2.8 solucione este bug. Si has tenido problemas con tu Blog o Website estos días tal vez tu problema este causado por esto.

Durante el mes de septiembre, Trend Micro descubrió 1.899 blogs hospedados en un conocido servicio de publicación de blogs que contenía iFrames maliciosos. Trend Micro ha descubierto un nuevo método de ataque que cada vez se está extendiendo más entre los creadores de código malicioso. Se trata de la falsificación de blogs completos para instalar código malicioso en los equipos informáticos. En esta ocasión, son los usuarios de sitios de blogs gratuitos los que se ven afectados.

Copio y pego: "Me entero vía milw0rm, que hay por lo menos dos exploits para Google Chrome Browser, el tan comentado Navegador de Google. Uno de ellos ejecuta sin problemas un archivo .EXE desde un iframe, el otro cuelga literalmente el navegador, al visitar una URL maliciosamente preparada. Los exploits, hacks y cracks están a la orden del día."

• La actividad del malware de origen Web, continúa escalando con un nuevo gusano que utiliza inyecciones iFrame y una vulnerabilidad MDAC para atacar sitios Web y causar daños vía infecciones a usuarios desprevenidos con el programa de malware Store. • Justo cuando usted creía seguro asumir que el gusano Storm se había desvanecido y muerto, autores de malware están ahora activamente lanzando su ataque de inyección iFrame para infectar sitios Web legítimos y confiables.

Dancho Danchev lleva varios posts sobre un preocupante problema, según lo reconocen SANS (isc.sans.org/diary.html?storyid=4144) o SecurityFocus (www.securityfocus.com/brief/701). Un XSS masivo en sitios como ZDNet Asia, News.com, TorrentReactor.net, Wired.com, etc. que, aprovechándose de la práctica de cachear las búsquedas, los atacantes inyectan términos más comunes de búsqueda, así como el iFRAME malicioso que redirije a las víctimas a sitios web falsos donde se exponen a ser infectados de malware. En inglés.

Muchos de los bloggers utilizamos sus aplicaciones diariamente, ¿quién se atreve a negarlo? está el correo gmail, bloc de notas, calendario, adsense, adwords, analytics, buscador de blogs google y un sin fin de aplicaciones que van aumentando diariamente pero el hecho de incrustar en tu blog una selección de Google Maps era bastante difícil y se dejaba por imposible, hasta hoy. Por fin han puesto la opción de poder introducirlo en un post en tu blog con un simple iframe que igualmente puedes modificar el tamaño a tu gusto.

No consiste en una simple acumulación de webs atacadas, sino que en ellas, manteniendo su aspecto original, han conseguido encajar código de forma que los usuarios vulnerables que las visiten serán infectados. El malware, una vez instalado en sus sistemas les robará (cómo no) sus credenciales bancarias. La solución más rápida y directa es usar un buen cortafuegos, un virus eficiente y actualizado y descargar rápidamente todas los parches operativos que actualizan el sistema operativo que esté utilizando. prepararse para la masacre