« Un candidato a peor “captcha” de la historia
My blog turned two years old »

Charla sobre Seguridad Web [Actualizado]

Published 17 May 2008 Uncategorized Comments

El próximo viernes 16 de mayo a las 17:00 horas en el Aula A0.11 en la Escuela Técnica Superior de Ingeniería Informática de la Universidad de Sevilla, Pedro Laguna y este servidor impartiremos una charla sobre Hacking Web poco frecuente.

Trataremos sobre vulnerabilidades poco conocidas como Remote File Inclusion, Local File Inclusion y Cross Site Request Forgery. Estas técnicas poco usuales pondrán de manifiesto la necesidad de concienciar a todo el mundo sobre la necesidad de tener presente la seguridad en las aplicaciones web en el momento de su desarrollo y mantenimiento.

Además, estas tecnicas serán explicadas y demostradas sobre vulnerabilidades aún no reveladas ni parcheadas en distinto software web de fuentes abiertas en ASP.NET (lo que técnicamente se conoce como vulnerabilidades 0-day).

¡No os la perdáis!

[Actualización] Material de la charla

  • Presentación RFI, LFI y XSRF.
  • Herramienta EnigneGlob:
    • Binario (necesitarás .NET Framework 2.0/Mono para su ejecución).
    • Fuentes.
  • FileHandler.cs (versión no parcheada).
  • BlogImporter.asmx (versión no parcheada).
  • DownloadShell.ashx

Puedes descargarte todo el código aquí: DotNetSecurity – EnigneGlob

Advertisement

8 Responses to “Charla sobre Seguridad Web [Actualizado]”

Feed for this Entry
  1. 1 LoreaL 13 May 2008 at 13:31

    Para la gente que no sabe llegar al aula indicada, habrá versión telemática?

  2. 2 edinne 13 May 2008 at 15:00

    Mira que Pedrito no me había contado nada… :) Ya me contaréis cómo fue. Mucha suerte.

  3. 3 des 13 May 2008 at 18:48

    Interesante eso de los 0-day… ¿los veremos publicados por aquí? (previo aviso al fabricante/desarrollador)

    Mucha suerte y un saludo

  4. 4 Rafa Vargas 13 May 2008 at 21:30

    @LoreaL: Salvo desinformación mía, habrá versión indiferida. Es decir, alguien grabará en video todo el evento y será subido a algún servidor publico accesible. Me encargaré poner los correspondientes links con los respectivos videos, ppts y material de la charla.

    @edinne: No es culpa suya, Pedro trabaja y no está todo el día con el blog. Espero que veas el video o al menos los momentos cumbres.

    @des: sí, serán publicado aquí convenientemente y con un tutorial de cómo explotarlo. Además, los desarrolladores del producto cuya vulnerabilidad será publicada ya fueron avisados hace meses y siguen sin corregir varios de los errores del producto; por lo tanto, ya es que me da igual la suerte que corran: el que avisa no es traidor.

  5. 5 fewibef 14 May 2008 at 20:46

    Algún dato más de la charla? ¿Tiene ya lugar definitivo? ¿Hay que apuntarse en algún sitio?

    Saludos.

  6. 6 Rafa Vargas 14 May 2008 at 20:50

    @fewibef: ¿Qué quieres saber? El lugar sí es definitivo. No, no es necesario apuntarse a ningún sitio.

  7. 7 fewibef 15 May 2008 at 09:51

    Con esto me vale… el resto lo descubriremos in-situ :-)

    Saludos.


  1. 1 RFI, LFI, CSRF… WTF?! « Equilibrio Inestable Trackback on 13 May 2008 at 20:49
Comments are currently closed.
« Un candidato a peor “captcha” de la historia
My blog turned two years old »

About me


My name is Rafa Vargas. I'm an undergraduate student of Computer Science at University of Seville, Spain. I am mainly interested in computer security, usability and the business of software.

Click here to read the full story.

Twitter subscription

Enter your email address to subscribe to this blog and receive notifications of new posts by email.

Join 6 other followers

Archives

Follow

Get every new post delivered to your Inbox.