SlideShare una empresa de Scribd logo
1 de 17
Descargar para leer sin conexión
(In)seguridad en componentes
cliente de aplicaciones web
UMA Hackers Week
Málaga, 24 de marzo de 2015
Enrique Rando González
Antes
Ahora...
Antes...
Fuente: http://reports.its.uiowa.edu/farewell-old-friend
Ahora...
Entorno cliente
<script>
for(var i = 1; i<p.size;i++) {
…
…
...
}
</script>
Y aquí comienzan los
problemas
HTTP (1)
GET http://webserver.example.com/aplicacion/mensajes.php?
orden=carga_mensaje&id=7 HTTP/1.1
Accept: */*
Referer: http://webserver.example.com/aplicacion/mensajes.php
Accept-Language: es-ES
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:
11.0) like Gecko
Proxy-Connection: Keep-Alive
DNT: 1
Cookie: PHPSESSID=aaltjlqrnj63452rq5skj1fvf0
Host: webserver.example.com
HTTP (2)
HTTP/1.1 200 OK
Date: Thu, 12 Mar 2015 23:39:09 GMT
Server: Apache/2.4.10 (Win32) OpenSSL/1.0.1i PHP/5.6.3
X-Powered-By: PHP/5.6.3
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0,
pre-check=0
Pragma: no-cache
Content-Length: 431
Content-Type: text/html; charset=UTF-8
{"id":"7","remite":"El usuario malicioso","asunto":"Cambio de fondo de
escritorio","texto":"Hola. Hay un nuevo fondo de escritorio
corporativo. Por favor visita el enlac...
Demo
Altas / Bajas / Modificaciones
Ataques de diccionario
SOP - onload
Protecciones
● Pedir constantemente la contraseña
● Constantes mensajes de aviso
● Uso de cabeceras
…
● Tokens anti CSRF
Demo 4
Logos corporativos
Alta de admins
Protecciones
No te dejes meter en un IFRAME
● Scripts
● Cabeceras HTTP
● Avisos
if (self != top) {
top.location.href = self.location.href;
}
X-Frame-Options: SAMEORIGIN // DENY // ALLOW FROM uri
(In)seguridad en componentes cliente de aplicaciones web - UMA Hackers Week 2015
Demo
Hola, mundo
Almacenando
DOM
Acceso a datos
Notas finales
Protecciones
Content Security Policy
Content-Security-Policy: "default-src 'none';
script-src 'self' webserver1.example.com;
object-src 'self';
style-src 'self' 'unsafe-inline';
img-src 'self';
media-src 'self' *.youtube.com;
frame-src 'self';
font-src 'self';
connect-src 'self'"
Programar bien...
Muchas gracias

Más contenido relacionado

La actualidad más candente

Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones webJose Mato
 
Seguridad de Aplicaciones Web
Seguridad de Aplicaciones WebSeguridad de Aplicaciones Web
Seguridad de Aplicaciones WebGabriel Arellano
 
Los navegadores más populares
Los navegadores más popularesLos navegadores más populares
Los navegadores más popularesKarla López
 
Actividad No. 1.15 Autenticación de dos factores con Google Authenticator en...
Actividad No. 1.15 Autenticación de dos factores con Google Authenticator en...Actividad No. 1.15 Autenticación de dos factores con Google Authenticator en...
Actividad No. 1.15 Autenticación de dos factores con Google Authenticator en...Francisco Medina
 
Presentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona SeguridadPresentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona Seguridadguestbfa74a
 
Menu. Pre.3 Copy (2)
Menu. Pre.3   Copy (2)Menu. Pre.3   Copy (2)
Menu. Pre.3 Copy (2)Jose Gerardo
 
Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript...
Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript...Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript...
Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript...RootedCON
 
Actividad No. 11: Reporte forense sobre intrusión a servidor GNU/Linux
Actividad No. 11: Reporte forense sobre intrusión a servidor GNU/LinuxActividad No. 11: Reporte forense sobre intrusión a servidor GNU/Linux
Actividad No. 11: Reporte forense sobre intrusión a servidor GNU/LinuxFrancisco Medina
 

La actualidad más candente (11)

Navegadores. web 2.0
Navegadores. web 2.0Navegadores. web 2.0
Navegadores. web 2.0
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones web
 
Seguridad de Aplicaciones Web
Seguridad de Aplicaciones WebSeguridad de Aplicaciones Web
Seguridad de Aplicaciones Web
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas web
 
Repositorio de blogs
Repositorio de blogsRepositorio de blogs
Repositorio de blogs
 
Los navegadores más populares
Los navegadores más popularesLos navegadores más populares
Los navegadores más populares
 
Actividad No. 1.15 Autenticación de dos factores con Google Authenticator en...
Actividad No. 1.15 Autenticación de dos factores con Google Authenticator en...Actividad No. 1.15 Autenticación de dos factores con Google Authenticator en...
Actividad No. 1.15 Autenticación de dos factores con Google Authenticator en...
 
Presentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona SeguridadPresentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona Seguridad
 
Menu. Pre.3 Copy (2)
Menu. Pre.3   Copy (2)Menu. Pre.3   Copy (2)
Menu. Pre.3 Copy (2)
 
Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript...
Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript...Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript...
Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript...
 
Actividad No. 11: Reporte forense sobre intrusión a servidor GNU/Linux
Actividad No. 11: Reporte forense sobre intrusión a servidor GNU/LinuxActividad No. 11: Reporte forense sobre intrusión a servidor GNU/Linux
Actividad No. 11: Reporte forense sobre intrusión a servidor GNU/Linux
 

Similar a (In)seguridad en componentes cliente de aplicaciones web - UMA Hackers Week 2015

Seguridad
SeguridadSeguridad
SeguridadVLASLOV
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
[SOS 2009] Microsoft Technet: TMG Preview Técnico
[SOS 2009] Microsoft Technet: TMG Preview Técnico[SOS 2009] Microsoft Technet: TMG Preview Técnico
[SOS 2009] Microsoft Technet: TMG Preview TécnicoChema Alonso
 
Seguridad 120618095150-phpapp01
Seguridad 120618095150-phpapp01Seguridad 120618095150-phpapp01
Seguridad 120618095150-phpapp01Edmundo Salas
 
Certificados digitales
Certificados digitalesCertificados digitales
Certificados digitalesTensor
 
Introducción a Servidor HTTP Apache
Introducción a Servidor HTTP ApacheIntroducción a Servidor HTTP Apache
Introducción a Servidor HTTP ApacheIker Canarias
 
Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1Carlos Alderete
 
Los 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo WebLos 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo Webacksec
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Jose Gratereaux
 
Seguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHPSeguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
 
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)kernelinux
 

Similar a (In)seguridad en componentes cliente de aplicaciones web - UMA Hackers Week 2015 (20)

Seguridad
SeguridadSeguridad
Seguridad
 
CodeCamp 2010 | Diez formas de escribir código (in)seguro
CodeCamp 2010 | Diez formas de escribir código (in)seguroCodeCamp 2010 | Diez formas de escribir código (in)seguro
CodeCamp 2010 | Diez formas de escribir código (in)seguro
 
Tema 3 - Seguridad en Internet
Tema 3 - Seguridad en InternetTema 3 - Seguridad en Internet
Tema 3 - Seguridad en Internet
 
Man in the middle aplicado a la seguridad
Man in the middle aplicado a la seguridadMan in the middle aplicado a la seguridad
Man in the middle aplicado a la seguridad
 
Mod security
Mod securityMod security
Mod security
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
 
[SOS 2009] Microsoft Technet: TMG Preview Técnico
[SOS 2009] Microsoft Technet: TMG Preview Técnico[SOS 2009] Microsoft Technet: TMG Preview Técnico
[SOS 2009] Microsoft Technet: TMG Preview Técnico
 
Seguridad 120618095150-phpapp01
Seguridad 120618095150-phpapp01Seguridad 120618095150-phpapp01
Seguridad 120618095150-phpapp01
 
Certificados digitales
Certificados digitalesCertificados digitales
Certificados digitales
 
Introducción a Servidor HTTP Apache
Introducción a Servidor HTTP ApacheIntroducción a Servidor HTTP Apache
Introducción a Servidor HTTP Apache
 
Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1
 
Los 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo WebLos 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo Web
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5
 
Seguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHPSeguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHP
 
CERT/CSIRT's tools: Con las manos en la masa
CERT/CSIRT's tools: Con las manos en la masaCERT/CSIRT's tools: Con las manos en la masa
CERT/CSIRT's tools: Con las manos en la masa
 
NcN_CSUC_CSIRT
NcN_CSUC_CSIRTNcN_CSUC_CSIRT
NcN_CSUC_CSIRT
 
Practica 6
Practica 6Practica 6
Practica 6
 
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)
 
HTTPS: Usted, úselo bien.
HTTPS: Usted, úselo bien.HTTPS: Usted, úselo bien.
HTTPS: Usted, úselo bien.
 
13.- Servidor http
13.- Servidor http13.- Servidor http
13.- Servidor http
 

Último

Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfInmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfOBr.global
 
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfTENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfJoseAlejandroPerezBa
 
Matriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxMatriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxPaolaCarolinaCarvaja
 
Inteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidadInteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidaddanik1023m
 
VIDEOS DE APOYO.docx E
VIDEOS DE APOYO.docx                                  EVIDEOS DE APOYO.docx                                  E
VIDEOS DE APOYO.docx Emialexsolar
 
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETDe Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETGermán Küber
 
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosEl diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosLCristinaForchue
 
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...RaymondCode
 
Actividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfActividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfalejandrogomezescoto
 
Hazte partner: Club Festibity 2024 - 2025
Hazte partner: Club Festibity 2024 - 2025Hazte partner: Club Festibity 2024 - 2025
Hazte partner: Club Festibity 2024 - 2025Festibity
 
Los mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfLos mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfodalistar77
 
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfPresentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfymiranda2
 

Último (14)

Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfInmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
 
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfTENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
 
Matriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxMatriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docx
 
Inteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidadInteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidad
 
VIDEOS DE APOYO.docx E
VIDEOS DE APOYO.docx                                  EVIDEOS DE APOYO.docx                                  E
VIDEOS DE APOYO.docx E
 
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETDe Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
 
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosEl diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
 
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
 
Actividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfActividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdf
 
BEDEC Sostenibilidad, novedades 2024 - Laura Silva
BEDEC Sostenibilidad, novedades 2024 - Laura SilvaBEDEC Sostenibilidad, novedades 2024 - Laura Silva
BEDEC Sostenibilidad, novedades 2024 - Laura Silva
 
BEDEC Proyecto y obra , novedades 2024 - Xavier Folch
BEDEC Proyecto y obra , novedades 2024 - Xavier FolchBEDEC Proyecto y obra , novedades 2024 - Xavier Folch
BEDEC Proyecto y obra , novedades 2024 - Xavier Folch
 
Hazte partner: Club Festibity 2024 - 2025
Hazte partner: Club Festibity 2024 - 2025Hazte partner: Club Festibity 2024 - 2025
Hazte partner: Club Festibity 2024 - 2025
 
Los mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfLos mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdf
 
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfPresentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
 

(In)seguridad en componentes cliente de aplicaciones web - UMA Hackers Week 2015