sicsti hacking
TRANSCRIPT
ADVERTENCIA
LOS ATAQUES AQUÍ MOSTRADOS SON REALES Y SON MOSTRADOS
ÚNICAMENTE CON FINES EDUCATIVOS, EL AUTOR NO SE HACE RESPONSIBLE DEL MAL USO
QUE SE LE PUEDA DAR.
HAPPY HACKING! :)
¿Quién Soy?• Ingeniero en Tecnologías de la Información y Comunicaciones
• Co-founder de Winero
• Co-founder de Apprendiz
• Freelancer
• Co-founder de Comunidad Código
• Investigador independiente
Agenda• Cookies
• Ataques Físicos
• Chrome, Firefox, Safari…
• Ataques Locales
• Session Sidejacking
• Firesheep
• Ataques Remotos
• XSS
• XSSED
• BEEF
• The Great Cookie Thief
• Mitigation
Cookie• Viene de “Magic Cookie”
• Guardan información de manera local para el usuario, como: una sesión, un carrito de compra o el tamaño de la pantalla
• Se compone de:
• Nombre
• Contenido
• Dominio
• Ruta
• Tipo de Conexión
• Fecha de Creación
• Fecha de Caducidad
Ataques Físicos• Requieren tener acceso al dispositivo en el cual se encuentran las cookies almacenadas
• Muchos navegadores hoy en día usan bases de datos de cookies encriptadas
• Es posible que algunas cookies puedan ser obtenidas mediante javascript:document.cookie
Session Sidejacking• Consiste escanear paquetes en una red local en búsqueda de los cookies de sesión
• Generalmente los cookies de sesión son enviados con cada petición al servidor
• Usualmente son acompañados por un ataque de ARP Spoofing
• Generalmente no es posible leer los contenidos del paquete si la conexión cuenta con SSL
Firesheep• Extensión de Firefox creada por Eric Butler en 2010, para ejemplificar el mal uso de SSL en muchos sitios populares
• Debido a su fácil funcionamiento cualquier persona podía usarlo sin tener muchos conocimientos técnicos
• Este evento derivo a que muchos sitios cambiaran a usar HTTPS en todas sus peticiones
• Herramientas Similares:
• Faceniff
• WhatsApp sniffer
• DroidSheep
• Hamster & Ferret
XSS: Cross Site Scripting
• Es un tipo de vulnerabilidad que se encuentra en las aplicaciones web, con la cual son capaces de inyectar código javascript en algún sitio
• La mayoría de los navegadores actuales cuentan con mecanismos para filtrar ataques de este tipo, pero NO son 100% infalibles
• Es un tipo de vulnerabilidad bastante popular, según un reporte
Tipos de XSS• Reflejado (No persistente)
• Ejemplo: http://jsbin.com/cericoti/1#alert("XSS")
• Persistente
• Ejemplo: algun comentario con <script>alert(1)</script> sin escapar
• Basado en DOM
• Ejemplo: Aplicaciones basadas en js
Self-XSS• Es un ataque de ingeniería social usado para obtener control sobre la cuenta de alguna víctima
• La víctima es engañada de ejecutar código sobre algun sitio con la promesa de obtener alguna funcionalidad extra: cambiar el color del sitio, hackear alguna cuenta, etc
• Caso más popular: Facebook
Omnomnify
• Es un sitio diseñado para promover la película de plaza sesamo: "The Cookie Thief "
• Cambia todas las imagenes del sitio por otras mostrando al monstruo comegalletas
POC• Servidor en rails usando la función "send_data", para enviar imágenes aleatorias
• Evita el filtro de XMLHttpRequest
• Evita el CSP (en caso de que bloqueé scripts)
• Menos "ruidoso" que window.location =""
Poder Ilimitado (O algo así…)
• Usando el ataque se ejecuta el script del lado del cliente y se puede rescatar del lado del servidor, sin embargo, es complicado hacer más acciones después de esto.
• Formas en que podría funcionar:
• Usando un applet
• Cargando otro script
• Cargando una imagen QR
Http-Only y Secure Cookie
• Http-Only: se refiere a cookies que únicamente pueden ser leídas por el navegador (no por javascript) esto para prevenir ataques de XSS
• Secure: se refiere a cookies que únicamente pueden viajar a través de una conexión segura
CSP: Content Security Policy
• Es un concepto de seguridad propuesto por la W3C
• Consiste en límitar el contenido que puede desplegar una página a fuentes confiables para evitar ataques de SSL
• Algunos navegadores modernos ya cuentan con compatibilidad para este estándar
Links de Interés
• http://www.wikihow.com/View-Cookies
• https://www.owasp.org/index.php/Category:OWASP_Cookies_Database
• https://github.com/codebutler/firesheep/tree/master/xpi/handlers
• https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
• https://drive.google.com/file/d/0B_Ci-1YbMqshWUtlaGRyLVBVd28/preview?pli=1
• http://www.xssed.com/
• http://excess-xss.com/
• https://www.httpsnow.org/
• http://n8henrie.com/2014/05/decrypt-chrome-cookies-with-python/
• https://jimshaver.net/2015/01/10/4-years-later-what-did-we-learn-from-firesheep-and-sslstrip/
• https://developer.chrome.com/extensions/contentSecurityPolicy
• http://www.engadget.com/2015/02/13/cookie-monster-omnomnom-thief/
• https://www.facebook.com/help/246962205475854
• http://blog.codinghorror.com/protecting-your-cookies-httponly/
• http://archive.news.softpedia.com/news/Facebook-Users-Tricked-into-Loading-Malicious-Code-in-Their-Browsers-146604.shtml
• http://www.techtimes.com/articles/19496/20141105/top-5-facebook-scams-cyber-criminals-use-to-lure-you.htm
• http://www.bitdefender.com/media/materials/white-papers/en/Bitdefender_WhitePaper_Facebook_Scams_web.pdf
• Imágenes cortesía de Google
• Iconos cortesía de http://www.flaticon.com/
Contacto
• Twitter: @Mackaber
• Facebook: /mackaber
• correo: [email protected]
• web: securityisaj0ke.blogspot.com
• web 2: mackeber.me