SeXSSy secrets: ataques de un javascript ninja

El XSS prevalece como una de las vulnerabilidades más comunes en la Web. A pesar de los numerosos esfuerzos que se han hecho para contrarrestarlo, parece que es un fallo que no se logra erradicar.

Es un riesgo enorme ahora más que nunca ya que los sitios web modernos están moviendo toda la aplicación hacia el lado del cliente. La superficie de ataque del XSS se ha expandido enormemente debido al desenfrenado poder que tiene javascript sobre el navegador.

La alta complejidad de javascript y de los navegadores modernos hacen que sea una tarea difícil protegerse contra este tipo de ataques. Además hay una vasta cantidad de soluciones comerciales inservibles y filtros mal diseñados que propagan un falso sentido de la seguridad en internet.

Esta plática pretende difundir información organizada y actualizada desde el punto de vista del atacante para ofrecer una mejor comprensión de por qué es un fallo tan difícil de eliminar, con el objetivo de que la gente gane una mejor conciencia sobre como tener aplicaciones más seguras.

  • La presentación hará un análisis a varios tipos de protección contra XSS que se usan actualmente para dar a conocer cuál es el verdadero nivel de protección que brindan.
  • Se hablará sobre las peculiaridades de los navegadores modernos que pueden ser abusadas por atacantes y que hacen difícil proteger las aplicaciones.
  • Se mostrarán varios trucos de javascript y HTML útiles para ejecutar código en el navegador de maneras poco convencionales y en contextos no habituales.
  • Se expondrán técnicas de ofuscación útiles para engañar tanto a filtros como a usuarios.
  • Se explicarán las implementaciones de control de acceso a javascript, tales como sandboxes en el browser y medidas de seguridad en el DOM.

Todo esto organizado de una manera en la que se pueda apreciar la evolcuión del XSS para intentar adoptar una perspectiva que nos permita ver hacia el futuro y saber que esperar de la seguridad en la Web.

Rubén Ventura (tr3w)

Entusiasta del hacking desde hace 9 años, su pasión por la seguridad le ha dado la oportunidad de compartir su experiencia de investigación y experimentación en persos congresos y eventos tales como OWASP Day Mexico, Bugcon, GuadalajaraCON, SISCTI, ENLI entre otros.
Más información.

4 Comments

  1. orly Marzo 25, 2013 9:59 am  Responder

    Hey hola, me interesa mucho esta platica en que fecha sera? hay manera de apartar lugar?

    • hkm Marzo 25, 2013 1:27 pm  Responder

      Puedes obtener el registro el día viernes 29 a las 12 AM.

  2. h4ckult1m4t3 Marzo 27, 2013 9:31 pm  Responder

    que onda mi tr3w, teine años que no sabia de ti we, mira donde te vien a encontrar, saludos

Leave a comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *