SlideShare una empresa de Scribd logo

Explotando Add-Ons de Mozilla Firefox

Jose Moruno Cadima
Jose Moruno Cadima

Explotando Add-Ons de Mozilla Firefox by @SixP4ck3r presentacion realizada en el Hackmeeting Bolivia - 2013 realizado en la ciudad de Santa Cruz los dias 10 y 11 de Agosto ... http://www.sniferl4bs.com

Tecnología
1 de 22
Descargar para leer sin conexión
Explotando Add-On's de Mozilla Firefox Richard Villca Apaza SixP4ck3r Hackmeeting 2013 Santa Cruz - Bolivia
Acerca de miAcerca de mi ● Estudiante de 2do. año de sistemas. ● Amante de la tecnología y el Software Libre. ● Programador... me encanta programar en el viejo C, Java, PHP, node.js, .NET y Python. ● Uno poco mas de 5 años en el mundo del Hacking ● Escritor de pappers. ● Me encanta compartir conocimientos. ● Un autodidacta mas en la red!
Lo que veremos...Lo que veremos... ● Intro ● Complementos, Ad-Ons, Plugins ... ● Seguridad en los Complementos de Mozilla Firefox ● Debilidades... y explotando... ● Demos (Keylogger, MiTM-GET-POST,remoteExec, Botnet) ● Add-OnFirefox + Beef = Botnet ● Entonces como puedo protegerme! ● Conclusión
IntroduccíonIntroduccíon ● Mozilla Firefox es el tercer navegador mas usado!
¿Complementos ó Plugins?¿Complementos ó Plugins? Los plug-in's son pequeños programas auxiliares o dispositivos de hardware que permiten a sistemas mayores extender sus capacidades normales o aportar una función, generalmente muy específica. Gracias a sus miles de add-ons hacen a Mozilla Firefox un navegador potente.
Todos usamos pluginsTodos usamos plugins ● Plataformas Web, CMS's ● Joomla, WordPress, Drupal, SMF y otros ● Plugins, Complementos ● Y otros... ● Aplicaciones de Escritorio ● Plugins para Photoshop ● Complementos para MS-Power Point ● Y muchos mas. ●
Complementos en FirefoxComplementos en Firefox
Complementos en FirefoxComplementos en Firefox
Esctructura de un Add-OnEsctructura de un Add-On Soporta: ● JavaScript ● HTML5 ● Ajax ● XUL -> GUI ● XML ● Y una variedad mas.
Esctructura de un Add-OnEsctructura de un Add-On ● chrome.manifest: Encargado de manejar la ubicacion de los ficheros del componente. ● install.rdf: Encargado de gestionar los nombres del desarollador, nombre del Add-On, Descripción, Version. ● Overlay.js: Los scripts que hacen posible el funcionamiento de un Add-On. ● Overlay.xul: GUI -> Encargado de manejar toda la interfaz grafica del Add-On.
Seguridad en los Add-On'sSeguridad en los Add-On's ● No hay mecanismos para restringir los privilegios de un Add-On. ● Los codigos de un Add-On no son verificados. ● Ninguna restricción para comunicarse desde un Add-On hacia Internet. ● XPConnect con privilegios, haces todo lo que quieres. ● Cuestion de creatividad e imaginación.
Pensando como atacante!Pensando como atacante! ● Leer ficheros del S.O. ● Keylogger Local, Remoto y robo de Cookies. ● MiTM control sobre el trafico POST y GET ● Reddireccion a otros sitos, control total sobre el contenido de una web. ● Distributed Denial of Service Attack (DDoS) ● Creando una BotNET con Beef ● En todos los S.O. Donde Mozilla Firefox este corriendo.
DEMO: Keylogger RemotoDEMO: Keylogger Remoto ● PHP ● Ajax ● Una Base de Datos ● Y a divertirse!
DEMO: MiTM Control POST GETDEMO: MiTM Control POST GET
DEMO: Ejecución de un *.EXEDEMO: Ejecución de un *.EXE
DEMO: Add-On + Beef = BotNETDEMO: Add-On + Beef = BotNET
Y que dicen los AV'sY que dicen los AV's
RecomendacionesRecomendaciones ● Jamas instales Add-Ons desde sitios dudosos. ● Cierra cualquier session que hayas iniciado, elimina tus cookies. ● Mirar en el panel de complementos de Firefox, que complementos tienes intalados, algun complemento desconocido dale en ELIMINAR. ● Mantener Firefox actualizado. ● Solo Instalar solo componentes que conoscais.
RecomendacionesRecomendaciones ● Usa Linux! ● Usa Lykan-OS
ConclusionesConclusiones ● A pesar de que Mozilla Firefox es un navegador potente igual tiene sus debilidades. ● Si alquien te instalo un Add-On y tu no sabes ni como funciona ni donde estan ubicados para poder desinstalarlo, tienes todas las de perder. ● Como el codigo no es examinado puede venir camuflado en un Add-On valido, por ejemplo dentro del Firebug. ● Que los Add-Ons para Mozilla Firefox pueden convertirse potencialmente en Malware.
Preguntas y DespedidaPreguntas y Despedida ● En la Informatíca y el AMOR nada es imposible! “Han podido acceder a nuestros servidores y han obtenido todas los datos.“ Los Administradores de DropBOX
ContactoContacto E-Mail -> SixP4ck3r AT Bolivia DOT com Blog -> http://sixp4ck3r.blogspot.com/ Twitter -> @SixP4ck3r

Recomendados

Explotando Add-On's de Mozilla Firefox
Explotando Add-On's de Mozilla FirefoxExplotando Add-On's de Mozilla Firefox
Explotando Add-On's de Mozilla FirefoxRithchard Javier
 
Programación web framework djando - noviembre de 2014
Programación web framework djando - noviembre de 2014Programación web framework djando - noviembre de 2014
Programación web framework djando - noviembre de 2014SandraMartinezG
 
Cómo crear ports en FreeBSD #PicnicCode2015
Cómo crear ports en FreeBSD #PicnicCode2015Cómo crear ports en FreeBSD #PicnicCode2015
Cómo crear ports en FreeBSD #PicnicCode2015OpenSistemas
 
Una breve resParte I. Desarrollo de VideoJuego: MonoGame en Windows 8.
Una breve resParte I. Desarrollo de VideoJuego: MonoGame en Windows 8.Una breve resParte I. Desarrollo de VideoJuego: MonoGame en Windows 8.
Una breve resParte I. Desarrollo de VideoJuego: MonoGame en Windows 8.Juan Manuel
 
Instalar tor
Instalar torInstalar tor
Instalar torDaniel Servando Ortega
 
Webinar Gratuito "Samurai Web Testing Framework 2.0"
Webinar Gratuito "Samurai Web Testing Framework 2.0"Webinar Gratuito "Samurai Web Testing Framework 2.0"
Webinar Gratuito "Samurai Web Testing Framework 2.0"Alonso Caballero
 
Felix alfred tare1_uiii_so
Felix alfred tare1_uiii_soFelix alfred tare1_uiii_so
Felix alfred tare1_uiii_sohellen obispo quiroz
 
97132962-instalacion-de-open meetings-en-squeeze
97132962-instalacion-de-open meetings-en-squeeze 97132962-instalacion-de-open meetings-en-squeeze
97132962-instalacion-de-open meetings-en-squeezexavazquez
 

Recomendados

Explotando Add-On's de Mozilla Firefox
Explotando Add-On's de Mozilla FirefoxExplotando Add-On's de Mozilla Firefox
Explotando Add-On's de Mozilla FirefoxRithchard Javier
 
Programación web framework djando - noviembre de 2014
Programación web framework djando - noviembre de 2014Programación web framework djando - noviembre de 2014
Programación web framework djando - noviembre de 2014SandraMartinezG
 
Cómo crear ports en FreeBSD #PicnicCode2015
Cómo crear ports en FreeBSD #PicnicCode2015Cómo crear ports en FreeBSD #PicnicCode2015
Cómo crear ports en FreeBSD #PicnicCode2015OpenSistemas
 
Una breve resParte I. Desarrollo de VideoJuego: MonoGame en Windows 8.
Una breve resParte I. Desarrollo de VideoJuego: MonoGame en Windows 8.Una breve resParte I. Desarrollo de VideoJuego: MonoGame en Windows 8.
Una breve resParte I. Desarrollo de VideoJuego: MonoGame en Windows 8.Juan Manuel
 
Instalar tor
Instalar torInstalar tor
Instalar torDaniel Servando Ortega
 
Webinar Gratuito "Samurai Web Testing Framework 2.0"
Webinar Gratuito "Samurai Web Testing Framework 2.0"Webinar Gratuito "Samurai Web Testing Framework 2.0"
Webinar Gratuito "Samurai Web Testing Framework 2.0"Alonso Caballero
 
Felix alfred tare1_uiii_so
Felix alfred tare1_uiii_soFelix alfred tare1_uiii_so
Felix alfred tare1_uiii_sohellen obispo quiroz
 
97132962-instalacion-de-open meetings-en-squeeze
97132962-instalacion-de-open meetings-en-squeeze 97132962-instalacion-de-open meetings-en-squeeze
97132962-instalacion-de-open meetings-en-squeezexavazquez
 
Client side attacks
Client side attacksClient side attacks
Client side attacksBoris Murillo
 
Enter Sandbox: Android Sandbox Comparison
Enter Sandbox: Android Sandbox ComparisonEnter Sandbox: Android Sandbox Comparison
Enter Sandbox: Android Sandbox ComparisonJose Moruno Cadima
 
Troopers14 Advanced Smartphone forensics - Vladimir Katalov
Troopers14 Advanced Smartphone forensics - Vladimir KatalovTroopers14 Advanced Smartphone forensics - Vladimir Katalov
Troopers14 Advanced Smartphone forensics - Vladimir KatalovJose Moruno Cadima
 
Bash Cheat Sheet - SniferL4bs
Bash Cheat Sheet - SniferL4bsBash Cheat Sheet - SniferL4bs
Bash Cheat Sheet - SniferL4bsJose Moruno Cadima
 
Análisis de Metadatos con la Foca
Análisis de Metadatos con la FocaAnálisis de Metadatos con la Foca
Análisis de Metadatos con la FocaJose Moruno Cadima
 
Kali tools list with short description
Kali tools list with short descriptionKali tools list with short description
Kali tools list with short descriptionJose Moruno Cadima
 
The Browser Explotations
The Browser ExplotationsThe Browser Explotations
The Browser ExplotationsRithchard Javier
 
Pucela testingdays testing_en_php
Pucela testingdays testing_en_phpPucela testingdays testing_en_php
Pucela testingdays testing_en_phpIsidro Merayo Castellano
 
Programación web framework django - noviembre de 2014
Programación web framework django - noviembre de 2014Programación web framework django - noviembre de 2014
Programación web framework django - noviembre de 2014Eduardo Ernesto Lechuga
 
Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5navajanegra
 
Buildout: Crear y desplegar entornos reproducibles en Python
Buildout: Crear y desplegar entornos reproducibles en PythonBuildout: Crear y desplegar entornos reproducibles en Python
Buildout: Crear y desplegar entornos reproducibles en PythonCodeSyntax
 
Web App Hacking and Penetration Testing - (RFI - LFI & RCE)
Web App Hacking and Penetration Testing - (RFI - LFI & RCE) Web App Hacking and Penetration Testing - (RFI - LFI & RCE)
Web App Hacking and Penetration Testing - (RFI - LFI & RCE) Jose Gonzales
 
Ruiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdf
Ruiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdfRuiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdf
Ruiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdfMaximilianoMuratorio1
 
Iniciacion a-python-3-freelibros.com
Iniciacion a-python-3-freelibros.comIniciacion a-python-3-freelibros.com
Iniciacion a-python-3-freelibros.comMarcosHuenchullanSot
 
Skipfish
Skipfish Skipfish
Skipfish Mauro Parra-Miranda
 
Jenkins, no me rompas los builds!
Jenkins, no me rompas los builds!Jenkins, no me rompas los builds!
Jenkins, no me rompas los builds!Gonzalo Sainz Trápaga
 
Programador Jr. para Python Primera Parte
Programador Jr. para Python Primera ParteProgramador Jr. para Python Primera Parte
Programador Jr. para Python Primera ParteJosé Luis Chiquete Valdivieso
 
Python
PythonPython
PythonBryan Quezada
 
FirebugNext ¿Qué se viene en la nueva versión de Firebug?
FirebugNext ¿Qué se viene en la nueva versión de Firebug?FirebugNext ¿Qué se viene en la nueva versión de Firebug?
FirebugNext ¿Qué se viene en la nueva versión de Firebug?hidekel
 
Hacking Etico by pseudor00t
Hacking Etico by pseudor00tHacking Etico by pseudor00t
Hacking Etico by pseudor00tpseudor00t overflow
 
Modulo 5
Modulo 5Modulo 5
Modulo 5Cesar Zarate
 
Como se instala java y turbo c 3.0
Como se instala java y turbo c 3.0Como se instala java y turbo c 3.0
Como se instala java y turbo c 3.0tacubomx
 

Más contenido relacionado

Destacado

Enter Sandbox: Android Sandbox Comparison
Enter Sandbox: Android Sandbox ComparisonEnter Sandbox: Android Sandbox Comparison
Enter Sandbox: Android Sandbox ComparisonJose Moruno Cadima
 
Troopers14 Advanced Smartphone forensics - Vladimir Katalov
Troopers14 Advanced Smartphone forensics - Vladimir KatalovTroopers14 Advanced Smartphone forensics - Vladimir Katalov
Troopers14 Advanced Smartphone forensics - Vladimir KatalovJose Moruno Cadima
 
Análisis de Metadatos con la Foca
Análisis de Metadatos con la FocaAnálisis de Metadatos con la Foca
Análisis de Metadatos con la FocaJose Moruno Cadima
 
Kali tools list with short description
Kali tools list with short descriptionKali tools list with short description
Kali tools list with short descriptionJose Moruno Cadima
 

Destacado (6)

Client side attacks
Client side attacksClient side attacks
Client side attacks
 
Enter Sandbox: Android Sandbox Comparison
Enter Sandbox: Android Sandbox ComparisonEnter Sandbox: Android Sandbox Comparison
Enter Sandbox: Android Sandbox Comparison
 
Troopers14 Advanced Smartphone forensics - Vladimir Katalov
Troopers14 Advanced Smartphone forensics - Vladimir KatalovTroopers14 Advanced Smartphone forensics - Vladimir Katalov
Troopers14 Advanced Smartphone forensics - Vladimir Katalov
 
Bash Cheat Sheet - SniferL4bs
Bash Cheat Sheet - SniferL4bsBash Cheat Sheet - SniferL4bs
Bash Cheat Sheet - SniferL4bs
 
Análisis de Metadatos con la Foca
Análisis de Metadatos con la FocaAnálisis de Metadatos con la Foca
Análisis de Metadatos con la Foca
 
Kali tools list with short description
Kali tools list with short descriptionKali tools list with short description
Kali tools list with short description
 

Similar a Explotando Add-Ons de Mozilla Firefox

Programación web framework django - noviembre de 2014
Programación web framework django - noviembre de 2014Programación web framework django - noviembre de 2014
Programación web framework django - noviembre de 2014Eduardo Ernesto Lechuga
 
Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5navajanegra
 
Buildout: Crear y desplegar entornos reproducibles en Python
Buildout: Crear y desplegar entornos reproducibles en PythonBuildout: Crear y desplegar entornos reproducibles en Python
Buildout: Crear y desplegar entornos reproducibles en PythonCodeSyntax
 
Web App Hacking and Penetration Testing - (RFI - LFI & RCE)
Web App Hacking and Penetration Testing - (RFI - LFI & RCE) Web App Hacking and Penetration Testing - (RFI - LFI & RCE)
Web App Hacking and Penetration Testing - (RFI - LFI & RCE) Jose Gonzales
 
Ruiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdf
Ruiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdfRuiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdf
Ruiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdfMaximilianoMuratorio1
 
Iniciacion a-python-3-freelibros.com
Iniciacion a-python-3-freelibros.comIniciacion a-python-3-freelibros.com
Iniciacion a-python-3-freelibros.comMarcosHuenchullanSot
 
FirebugNext ¿Qué se viene en la nueva versión de Firebug?
FirebugNext ¿Qué se viene en la nueva versión de Firebug?FirebugNext ¿Qué se viene en la nueva versión de Firebug?
FirebugNext ¿Qué se viene en la nueva versión de Firebug?hidekel
 
Como se instala java y turbo c 3.0
Como se instala java y turbo c 3.0Como se instala java y turbo c 3.0
Como se instala java y turbo c 3.0tacubomx
 
Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13
Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13
Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13peter69
 
Como instalar Prolog en Windows
Como instalar Prolog en WindowsComo instalar Prolog en Windows
Como instalar Prolog en WindowsCesarMartinez474
 
Manual de hacking basico por taskkill#3
Manual de hacking basico por taskkill#3Manual de hacking basico por taskkill#3
Manual de hacking basico por taskkill#3Brat Stell
 
4 Programas Sin costo Para Supervisar Tu Conexión A Internet
4 Programas Sin costo Para Supervisar Tu Conexión A Internet4 Programas Sin costo Para Supervisar Tu Conexión A Internet
4 Programas Sin costo Para Supervisar Tu Conexión A Internetlegalsoft09
 

Similar a Explotando Add-Ons de Mozilla Firefox (20)

The Browser Explotations
The Browser ExplotationsThe Browser Explotations
The Browser Explotations
 
Pucela testingdays testing_en_php
Pucela testingdays testing_en_phpPucela testingdays testing_en_php
Pucela testingdays testing_en_php
 
Programación web framework django - noviembre de 2014
Programación web framework django - noviembre de 2014Programación web framework django - noviembre de 2014
Programación web framework django - noviembre de 2014
 
Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5
 
Buildout: Crear y desplegar entornos reproducibles en Python
Buildout: Crear y desplegar entornos reproducibles en PythonBuildout: Crear y desplegar entornos reproducibles en Python
Buildout: Crear y desplegar entornos reproducibles en Python
 
Web App Hacking and Penetration Testing - (RFI - LFI & RCE)
Web App Hacking and Penetration Testing - (RFI - LFI & RCE) Web App Hacking and Penetration Testing - (RFI - LFI & RCE)
Web App Hacking and Penetration Testing - (RFI - LFI & RCE)
 
Ruiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdf
Ruiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdfRuiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdf
Ruiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdf
 
Iniciacion a-python-3-freelibros.com
Iniciacion a-python-3-freelibros.comIniciacion a-python-3-freelibros.com
Iniciacion a-python-3-freelibros.com
 
Skipfish
Skipfish Skipfish
Skipfish
 
Jenkins, no me rompas los builds!
Jenkins, no me rompas los builds!Jenkins, no me rompas los builds!
Jenkins, no me rompas los builds!
 
Programador Jr. para Python Primera Parte
Programador Jr. para Python Primera ParteProgramador Jr. para Python Primera Parte
Programador Jr. para Python Primera Parte
 
Python
PythonPython
Python
 
FirebugNext ¿Qué se viene en la nueva versión de Firebug?
FirebugNext ¿Qué se viene en la nueva versión de Firebug?FirebugNext ¿Qué se viene en la nueva versión de Firebug?
FirebugNext ¿Qué se viene en la nueva versión de Firebug?
 
Hacking Etico by pseudor00t
Hacking Etico by pseudor00tHacking Etico by pseudor00t
Hacking Etico by pseudor00t
 
Modulo 5
Modulo 5Modulo 5
Modulo 5
 
Como se instala java y turbo c 3.0
Como se instala java y turbo c 3.0Como se instala java y turbo c 3.0
Como se instala java y turbo c 3.0
 
Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13
Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13
Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13
 
Como instalar Prolog en Windows
Como instalar Prolog en WindowsComo instalar Prolog en Windows
Como instalar Prolog en Windows
 
Manual de hacking basico por taskkill#3
Manual de hacking basico por taskkill#3Manual de hacking basico por taskkill#3
Manual de hacking basico por taskkill#3
 
4 Programas Sin costo Para Supervisar Tu Conexión A Internet
4 Programas Sin costo Para Supervisar Tu Conexión A Internet4 Programas Sin costo Para Supervisar Tu Conexión A Internet
4 Programas Sin costo Para Supervisar Tu Conexión A Internet
 

Último

Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 

Último (16)

Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 

Explotando Add-Ons de Mozilla Firefox

  • 1. Explotando Add-On's de Mozilla Firefox Richard Villca Apaza SixP4ck3r Hackmeeting 2013 Santa Cruz - Bolivia
  • 2. Acerca de miAcerca de mi ● Estudiante de 2do. año de sistemas. ● Amante de la tecnología y el Software Libre. ● Programador... me encanta programar en el viejo C, Java, PHP, node.js, .NET y Python. ● Uno poco mas de 5 años en el mundo del Hacking ● Escritor de pappers. ● Me encanta compartir conocimientos. ● Un autodidacta mas en la red!
  • 3. Lo que veremos...Lo que veremos... ● Intro ● Complementos, Ad-Ons, Plugins ... ● Seguridad en los Complementos de Mozilla Firefox ● Debilidades... y explotando... ● Demos (Keylogger, MiTM-GET-POST,remoteExec, Botnet) ● Add-OnFirefox + Beef = Botnet ● Entonces como puedo protegerme! ● Conclusión
  • 4. IntroduccíonIntroduccíon ● Mozilla Firefox es el tercer navegador mas usado!
  • 5. ¿Complementos ó Plugins?¿Complementos ó Plugins? Los plug-in's son pequeños programas auxiliares o dispositivos de hardware que permiten a sistemas mayores extender sus capacidades normales o aportar una función, generalmente muy específica. Gracias a sus miles de add-ons hacen a Mozilla Firefox un navegador potente.
  • 6. Todos usamos pluginsTodos usamos plugins ● Plataformas Web, CMS's ● Joomla, WordPress, Drupal, SMF y otros ● Plugins, Complementos ● Y otros... ● Aplicaciones de Escritorio ● Plugins para Photoshop ● Complementos para MS-Power Point ● Y muchos mas. ●
  • 9. Esctructura de un Add-OnEsctructura de un Add-On Soporta: ● JavaScript ● HTML5 ● Ajax ● XUL -> GUI ● XML ● Y una variedad mas.
  • 10. Esctructura de un Add-OnEsctructura de un Add-On ● chrome.manifest: Encargado de manejar la ubicacion de los ficheros del componente. ● install.rdf: Encargado de gestionar los nombres del desarollador, nombre del Add-On, Descripción, Version. ● Overlay.js: Los scripts que hacen posible el funcionamiento de un Add-On. ● Overlay.xul: GUI -> Encargado de manejar toda la interfaz grafica del Add-On.
  • 11. Seguridad en los Add-On'sSeguridad en los Add-On's ● No hay mecanismos para restringir los privilegios de un Add-On. ● Los codigos de un Add-On no son verificados. ● Ninguna restricción para comunicarse desde un Add-On hacia Internet. ● XPConnect con privilegios, haces todo lo que quieres. ● Cuestion de creatividad e imaginación.
  • 12. Pensando como atacante!Pensando como atacante! ● Leer ficheros del S.O. ● Keylogger Local, Remoto y robo de Cookies. ● MiTM control sobre el trafico POST y GET ● Reddireccion a otros sitos, control total sobre el contenido de una web. ● Distributed Denial of Service Attack (DDoS) ● Creando una BotNET con Beef ● En todos los S.O. Donde Mozilla Firefox este corriendo.
  • 13. DEMO: Keylogger RemotoDEMO: Keylogger Remoto ● PHP ● Ajax ● Una Base de Datos ● Y a divertirse!
  • 14. DEMO: MiTM Control POST GETDEMO: MiTM Control POST GET
  • 15. DEMO: Ejecución de un *.EXEDEMO: Ejecución de un *.EXE
  • 16. DEMO: Add-On + Beef = BotNETDEMO: Add-On + Beef = BotNET
  • 17. Y que dicen los AV'sY que dicen los AV's
  • 18. RecomendacionesRecomendaciones ● Jamas instales Add-Ons desde sitios dudosos. ● Cierra cualquier session que hayas iniciado, elimina tus cookies. ● Mirar en el panel de complementos de Firefox, que complementos tienes intalados, algun complemento desconocido dale en ELIMINAR. ● Mantener Firefox actualizado. ● Solo Instalar solo componentes que conoscais.
  • 20. ConclusionesConclusiones ● A pesar de que Mozilla Firefox es un navegador potente igual tiene sus debilidades. ● Si alquien te instalo un Add-On y tu no sabes ni como funciona ni donde estan ubicados para poder desinstalarlo, tienes todas las de perder. ● Como el codigo no es examinado puede venir camuflado en un Add-On valido, por ejemplo dentro del Firebug. ● Que los Add-Ons para Mozilla Firefox pueden convertirse potencialmente en Malware.
  • 21. Preguntas y DespedidaPreguntas y Despedida ● En la Informatíca y el AMOR nada es imposible! “Han podido acceder a nuestros servidores y han obtenido todas los datos.“ Los Administradores de DropBOX
  • 22. ContactoContacto E-Mail -> SixP4ck3r AT Bolivia DOT com Blog -> http://sixp4ck3r.blogspot.com/ Twitter -> @SixP4ck3r