En la segunda jornada de la 4Party, el encargado del taller fue un tal Pello Altadill (del insti), esta vez en solitario. ¿El tema? una archiconocida vulnerabilidad de las aplicaciones web: el XSS o el cross-site-scripting.
Cuando se busca informacion sobre el XSS siempre se suelen encontrar documentos con ejemplos donde se muestran unas pocas técnicas. Conociendo HTML, las hojas de estilo y sobre todo los lenguajes de scripting como javascript las cosas que se pueden llegar a hacer son innumerables. En esta taller se trató de poner en práctica todo un abanico de ataques haciendo un recorrido de las posibilidades de javascript, desde las bromas más simples a las acciones más sutiles y peligrosas.
Para llevar a cabo el taller se montaron varias instancias de una aplicación web con más agujeros que un phpnuke cualquiera. Como parte de la documentación se entregaron pequeños scripts para hacer pruebas y posibles modificaciones.
Se empezo poniendo a prueba la aplicación con pequeñas inserciones de HTML, para seguir con script sencillos con alerts y otros metodos del objeto window. De las bromas se paso a cosas más serias como las distintas maneras de capturar datos de un formulario y enviarlos a una web exterior. Para culminar se presentaron temas más avanzados como el DOM y Ajax, unas tecnologias que ofrecen grandes posibilidades tanto para mejorar las aplicaciones como para aumentar el arsenal de los usuarios maliciosos.
(Elena: si tienes alguna foto del taller mándala cuando puedas)
Una vez más se entrego a los asistentes un live-cd de navarrux con los scripts, ejemplos de codigo (de dom, de ajax,...) y un documento que recoge los contenidos de la charla.
Puedes descargártelo aquí:
- Ataques XSS - PDF
- Ataques XSS - en ODT
- Ejemplos de ataques, ejemplos de DOM y Ajax
- Aplicación vulnerable de ejemplo
Dentro del CD también se incluye la aplicación vulnerable, un guestbook desarrollado en php con toda clase de debilidades. Además también se ha metido la última version de appserv para windows, para que podáis probarlo sin problemas con un apache2, un php5 y un mysql5.
Hoy jueves 14 de junio, el el duelos de los destinos. Si estás interesado/a no olvides inscribirte en esta web.
No hay comentarios:
Publicar un comentario