> For the complete documentation index, see [llms.txt](https://enciall.gitbook.io/enciall/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://enciall.gitbook.io/enciall/hallazgos/clickjacking-en-plataforma-inmobiliaria.md).

# Clickjacking en Plataforma Inmobiliaria

🛡 Informe de Vulnerabilidad: Clickjacking en una plataforma web dedicada al sector inmobiliario.

**Fecha del hallazgo:** Lunes, 21 de abril de 2025\
**Investigador:** enciall01\
**Tipo de vulnerabilidad:** Clickjacking\
**Gravedad estimada:** Media

***

#### 📌 Descripción

El nombre de la plataforma se mantiene **reservado por motivos de divulgación responsable**, hasta obtener el permiso explícito de los desarrolladores para hacerlo público.

Durante la revisión, se ha detectado que la plataforma en cuestión presenta una vulnerabilidad que permite la carga dentro de un `iframe`, lo cual puede ser utilizado para llevar a cabo ataques de clickjacking.

Este tipo de ataque permite superponer contenido malicioso sobre el sitio real, capturando interacciones del usuario sin su conocimiento. Si los usuarios logueados realizan acciones importantes (como publicar, modificar propiedades o gestionar pagos), un atacante podría explotarlo para provocar **consecuencias graves**.

***

#### 🧪 Prueba de concepto (PoC)

Se utilizó un servidor local con Python para cargar la plataforma dentro de un `iframe` de la siguiente forma:

```html
<!DOCTYPE html>
<html>
  <head>
    <title>Clickjacking</title>
  </head>
  <body>
    <h2>Clickjacking</h2>
    <iframe src="https://ejemplo.com" width="1000" height="800" style="opacity:0.7; position:absolute; top:0; left:0;"></iframe>
  </body>
</html>
```

El sitio se muestra correctamente, lo que confirma la ausencia de encabezados de seguridad como:

* `X-Frame-Options: DENY`
* `Content-Security-Policy: frame-ancestors 'none';`

**📷 Evidencia visual:**

Imagen censurada por motivos de confidencialidad. Será publicada completa con permiso expreso del responsable

<figure><img src="/files/SXmRznxifqlHVfSahcCR" alt=""><figcaption></figcaption></figure>

***

#### 🛡️ Recomendaciones

Para prevenir esta vulnerabilidad, se sugiere implementar una de las siguientes medidas en la configuración del servidor:

1. **Cabecera X-Frame-Options:**

   ```
   mathematicaCopiarEditarX-Frame-Options: DENY
   ```

   o bien:

   ```
   mathematicaCopiarEditarX-Frame-Options: SAMEORIGIN
   ```
2. **Cabecera CSP:**

   ```
   cssCopiarEditarContent-Security-Policy: frame-ancestors 'none';
   ```

Ambas medidas impiden que el sitio sea cargado en marcos externos, bloqueando intentos de clickjacking.

***

#### 📬 Contacto

Este reporte fue realizado con la única intención de mejorar la seguridad de la plataforma. No se han llevado a cabo acciones ofensivas ni se ha manipulado información.\
Estoy disponible para brindar más detalles si fuera necesario.

correo: `enciall01@proton.me`

o

`enciall01` en discord
