SlideShare una empresa de Scribd logo

Vulnerabilidades ayer hoy

Internet Security Auditors
Internet Security Auditors

El documento habla sobre vulnerabilidades de seguridad como CSRF y cómo el token fb_dtsg de Facebook puede ser explotado para realizar peticiones no autorizadas a la plataforma. Explica cómo reducir las peticiones a Facebook a su mínima expresión para explotar el token fb_dtsg y hacer cambios de contraseña, confirmar solicitudes de amistad y más.

Tecnología
1 de 36
Descargar para leer sin conexión
Su Seguridad es Nuestro Éxito Vicente Aguilera Díaz Socio. Director Dpto. Auditoría vaguilera@isecauditors.com - @VAguileraDiaz Vulnerabilidades animadas de ayer y hoy Hack&Beers Barcelona 20 de febrero de 2015
Vicente Aguilera Díaz Vulnerabilidades animadas de ayer y hoy
Índice 1. ¿No aprendemos? 2. Una vulnerabilidad especial 3. Análisis rápido sobre Facebook Vulnerabilidades animadas de ayer y hoy
Vulnerabilidades animadas de ayer y hoy
CSRF Cross-Site Request Forgery Vulnerabilidades animadas de ayer y hoy
Vulnerabilidades animadas de ayer y hoy
Vulnerabilidades animadas de ayer y hoy
Vulnerabilidades animadas de ayer y hoy
Vulnerabilidades animadas de ayer y hoy
Vulnerabilidades animadas de ayer y hoy
VS CSRF Vulnerabilidades animadas de ayer y hoy
Modificación de contraseña Petición estándar: POST /ajax/settings/account/password.php HTTP/1.1 Host: www.facebook.com fb_dtsg=BSFY7tMXuZW3Wd8&password_strength=2&password_old=123&pass word_new=1234&password_confirm=1234&__user=9996417249539&__a=1&__ dyn=7nm8RW8BgCByXzpQ9UoGyk4BBxN6yUmnOVbGAFp9qzQC-C26x5- 9V8CdDx2vBhEoBBzEy78ZS2zUy3yo&__req=30&ttstamp=36581708955714778 31176789518710056&__rev=1601460 Vulnerabilidades animadas de ayer y hoy
Modificación de contraseña Petición “mínima”: POST /ajax/settings/account/password.php HTTP/1.1 Host: www.facebook.com fb_dtsg=BSFY7tMXuZW3Wd8&password_strength=2&password_old=123&pass word_new=1234&password_confirm=1234&__user=9996417249539&__a=1 Vulnerabilidades animadas de ayer y hoy
Confirmar petición de amistad Petición estándar: POST /ajax/reqs.php HTTP/1.1 Host: www.facebook.com fb_dtsg=BSFY7tMXuZW3Wd8&confirm=9316813227&type=friend_connect&requ est_id=9316813227&list_item_id=9316813227_1_req&status_div_id=931681322 7_1_req_status&inline=1&ref=jewel&ego_log=AS8k5U8Ov5FMMQ2rPKND8uFV w2tLuXNakEN4ZAed90GWvx5j1oeb6ui2oLz812a_EGwV5p7ovtWd7IZsdwss4k_ 4Yu66h7ZavA2S5KQJQFQZzXNpnGKvn_1VJMQIPBpE8BRYywXrdiR2DBeqpO bVBQ&actions[accept]=1&nctr[_mod]=pagelet_bluebar&__user=9996417249539 &__a=1&__dyn=7nm8RW8BgCByXzpQ9UoGyk4BBxN6yUmnOVbGAFp9qzQC- C26x59V8CdDx2vBhEoBBzEy78ZS2zUy3yo&__req=30&ttstamp=36581708955 71477831176789518710056&__rev=1601460 Vulnerabilidades animadas de ayer y hoy
Confirmar petición de amistad Petición “mínima”: POST /ajax/reqs.php HTTP/1.1 Host: www.facebook.com fb_dtsg=BSFY7tMXuZW3Wd8&confirm=9316813227&type=friend_connect&req uest_id=9316813227&list_item_id=9316813227_1_req&status_div_id=93168132 27_1_req_status&__user=9996417249539&__a=1 Vulnerabilidades animadas de ayer y hoy
Añadir dirección de email secundaria Petición estándar: POST /settings/email/add/submit/ HTTP/1.1 Host: www.facebook.com fb_dtsg=BSFY7tMXuZW3Wd8&new_email=test%40test.com&__user=99964172 49539&__a=1&__dyn=7nm8RW8BgCByXzpQ9UoGyk4BBxN6yUmnOVbGAFp9 qzQC-C26x5- 9V8CdDx2vBhEoBBzEy78ZS2zUy3yo&__req=30&ttstamp=36581708955714778 31176789518710056&__rev=1601460 Vulnerabilidades animadas de ayer y hoy
Añadir dirección de email secundaria Petición “mínima”: POST /settings/email/add/submit/ HTTP/1.1 Host: www.facebook.com fb_dtsg=BSFY7tMXuZW3Wd8&new_email=test%40test.com&__user=99964172 49539&__a=1 Vulnerabilidades animadas de ayer y hoy
Añadir foto de perfil Petición estándar: POST /ajax/timeline/profile_pic_upload?source=megaphone_activation&__user= 9996417249539 &__a=1&__ dyn=7nm8RW8BgCByXzpQ9UoGyk4BBxN6yUmnOVbGAFp9qzQC-C26x5- 9V8CdDx2vBhEoBBzEy78ZS2zUy3yo&__req=30&ttstamp=36581708955714778 31176789518710056&__rev=1603460 HTTP/1.1 Host: upload.facebook.com ------WebKitFormBoundaryPXTrB9sO207fJ6Gd Content-Disposition: form-data; name="fb_dtsg" BSFY7tMXuZW3Wd8 ------WebKitFormBoundaryPXTrB9sO207fJ6Gd Content-Disposition: form-data; name="profile_id" 9996417249539 ------WebKitFormBoundaryPXTrB9sO207fJ6Gd Content-Disposition: form-data; name="file"; filename="noback.jpg" Content-Type: image/jpeg Vulnerabilidades animadas de ayer y hoy
Añadir foto de perfil Petición mínima: POST /ajax/timeline/profile_pic_upload?source=megaphone_activation&__user=99964 17249539&__a=1 HTTP/1.1 Host: upload.facebook.com ------WebKitFormBoundaryPXTrB9sO207fJ6Gd Content-Disposition: form-data; name="fb_dtsg" BSFY7tMXuZW3Wd8 ------WebKitFormBoundaryPXTrB9sO207fJ6Gd Content-Disposition: form-data; name="profile_id" 9996417249539 ------WebKitFormBoundaryPXTrB9sO207fJ6Gd Content-Disposition: form-data; name="file"; filename="noback.jpg" Content-Type: image/jpeg Vulnerabilidades animadas de ayer y hoy
…. y podemos extrapolarlo al resto de operativas Vulnerabilidades animadas de ayer y hoy
fb_dtsg : el Santo Grial Vulnerabilidades animadas de ayer y hoy
fb_dtsg = BSFY7tMXuZW3Wd8 ¿Características? Vulnerabilidades animadas de ayer y hoy
fb_dtsg • Longitud: 15 • Rango de caracteres: – [A-Z] – [a-z] – [0-9] – [_] Vulnerabilidades animadas de ayer y hoy
fb_dtsg • Único por usuario y petición Vulnerabilidades animadas de ayer y hoy
fb_dtsg • Único por usuario y petición – ¡No se destruyen tras la petición! Vulnerabilidades animadas de ayer y hoy
fb_dtsg • 3 últimos caracteres no afectan Vulnerabilidades animadas de ayer y hoy
fb_dtsg • 3 últimos caracteres no afectan – pueden ser eliminados directamente Vulnerabilidades animadas de ayer y hoy
fb_dtsg • 2 primeros caracteres no suelen variar Vulnerabilidades animadas de ayer y hoy
fb_dtsg • 2 primeros caracteres no suelen variar – fb_dtsg = AQ… Vulnerabilidades animadas de ayer y hoy
fb_dtsg • Hasta ahora tenemos: fb_dtsg = AQ XXXXXXXXXX YYY Vulnerabilidades animadas de ayer y hoy
fb_dtsg • Otras consideraciones: – Usuarios con mayor actividad generarán más tokens válidos… – Evitar posibles medidas abusando operativas no sensibles – Y … Vulnerabilidades animadas de ayer y hoy
fb_dtsg • Otras consideraciones: – Usuarios con mayor actividad generarán más tokens válidos… – Evitar posibles medidas abusando operativas no sensibles – Hay muchas otras vías de análisis – y … Vulnerabilidades animadas de ayer y hoy
fb_dtsg ¡El resto es imaginación¡ No limites tu capacidad de inventiva: mente abierta Vulnerabilidades animadas de ayer y hoy
fb_dtsg ¡El resto es imaginación¡ No limites tu capacidad de inventiva: mente abierta Vulnerabilidades animadas de ayer y hoy
Su Seguridad es Nuestro Éxito C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com ? C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Vicente Aguilera Díaz www.vicenteaguileradiaz.com @VAguileraDiaz
Su Seguridad es Nuestro Éxito C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Su Seguridad es Nuestro Éxito C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com

Recomendados

Hacker
HackerHacker
HackerZai M. May
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaInternet Security Auditors
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente AguileraHackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente AguileraInternet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Internet Security Auditors
 
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Internet Security Auditors
 

Recomendados

Hacker
HackerHacker
HackerZai M. May
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaInternet Security Auditors
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente AguileraHackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente AguileraInternet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Internet Security Auditors
 
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Internet Security Auditors
 
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Internet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la NubeInternet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
La marca / el secreto esta en la marca de OMPI
La marca / el secreto esta en la marca de OMPILa marca / el secreto esta en la marca de OMPI
La marca / el secreto esta en la marca de OMPIJorge Teran
 
Annual-Report-2015_forweb
Annual-Report-2015_forwebAnnual-Report-2015_forweb
Annual-Report-2015_forwebKate Varghese
 
IT_CV_Mahmoud Zohori
IT_CV_Mahmoud ZohoriIT_CV_Mahmoud Zohori
IT_CV_Mahmoud ZohoriMahmoud Zohori
 
Marketing de Resultados
Marketing de ResultadosMarketing de Resultados
Marketing de ResultadosHector Maida
 
Fehlertolerante Ladeprozesse in Oracle gegen schlaflose Nächte
Fehlertolerante Ladeprozesse in Oracle gegen schlaflose NächteFehlertolerante Ladeprozesse in Oracle gegen schlaflose Nächte
Fehlertolerante Ladeprozesse in Oracle gegen schlaflose NächteTrivadis
 
La Vente B2B
La Vente B2BLa Vente B2B
La Vente B2BJohn Carmichael
 
Analisis de sitio
Analisis de sitioAnalisis de sitio
Analisis de sitiojgmxs
 
“Youth Employment- A Global Goal, A National Challenge” (ILO) 2006
“Youth Employment- A Global Goal, A National Challenge” (ILO) 2006 “Youth Employment- A Global Goal, A National Challenge” (ILO) 2006
“Youth Employment- A Global Goal, A National Challenge” (ILO) 2006UN Focal Point on Youth, Division for Social Policy and Development
 
Tarea 1 marta mendoza
Tarea 1 marta mendozaTarea 1 marta mendoza
Tarea 1 marta mendozacarolina mendoza
 
Presentacion cta cte-rotary-luis zapata 2016
Presentacion cta cte-rotary-luis zapata 2016Presentacion cta cte-rotary-luis zapata 2016
Presentacion cta cte-rotary-luis zapata 2016JUAN CONTRERAS CACERES
 
Presentase Tutorial Blog dan Email
Presentase Tutorial Blog dan EmailPresentase Tutorial Blog dan Email
Presentase Tutorial Blog dan EmailCrimson Crimes
 
Double optinandemailmarketing en
Double optinandemailmarketing enDouble optinandemailmarketing en
Double optinandemailmarketing enTalkfusion Vídeo e Comunicação
 
Mary Rodwell - Triggers of Consciousness
Mary Rodwell - Triggers of ConsciousnessMary Rodwell - Triggers of Consciousness
Mary Rodwell - Triggers of ConsciousnessExopolitics Hungary
 
al Andalus
al Andalusal Andalus
al Andalusavilase2
 
Smart Grids y ciberseguridad
Smart Grids y ciberseguridadSmart Grids y ciberseguridad
Smart Grids y ciberseguridadFernando Tricas García
 
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Cristián Rojas, MSc., CSSLP
 

Más contenido relacionado

Destacado

Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Internet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
La marca / el secreto esta en la marca de OMPI
La marca / el secreto esta en la marca de OMPILa marca / el secreto esta en la marca de OMPI
La marca / el secreto esta en la marca de OMPIJorge Teran
 
Annual-Report-2015_forweb
Annual-Report-2015_forwebAnnual-Report-2015_forweb
Annual-Report-2015_forwebKate Varghese
 
Marketing de Resultados
Marketing de ResultadosMarketing de Resultados
Marketing de ResultadosHector Maida
 
Fehlertolerante Ladeprozesse in Oracle gegen schlaflose Nächte
Fehlertolerante Ladeprozesse in Oracle gegen schlaflose NächteFehlertolerante Ladeprozesse in Oracle gegen schlaflose Nächte
Fehlertolerante Ladeprozesse in Oracle gegen schlaflose NächteTrivadis
 
Analisis de sitio
Analisis de sitioAnalisis de sitio
Analisis de sitiojgmxs
 
Presentacion cta cte-rotary-luis zapata 2016
Presentacion cta cte-rotary-luis zapata 2016Presentacion cta cte-rotary-luis zapata 2016
Presentacion cta cte-rotary-luis zapata 2016JUAN CONTRERAS CACERES
 
Presentase Tutorial Blog dan Email
Presentase Tutorial Blog dan EmailPresentase Tutorial Blog dan Email
Presentase Tutorial Blog dan EmailCrimson Crimes
 
Mary Rodwell - Triggers of Consciousness
Mary Rodwell - Triggers of ConsciousnessMary Rodwell - Triggers of Consciousness
Mary Rodwell - Triggers of ConsciousnessExopolitics Hungary
 
al Andalus
al Andalusal Andalus
al Andalusavilase2
 

Destacado (20)

Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 
La marca / el secreto esta en la marca de OMPI
La marca / el secreto esta en la marca de OMPILa marca / el secreto esta en la marca de OMPI
La marca / el secreto esta en la marca de OMPI
 
Annual-Report-2015_forweb
Annual-Report-2015_forwebAnnual-Report-2015_forweb
Annual-Report-2015_forweb
 
IT_CV_Mahmoud Zohori
IT_CV_Mahmoud ZohoriIT_CV_Mahmoud Zohori
IT_CV_Mahmoud Zohori
 
Marketing de Resultados
Marketing de ResultadosMarketing de Resultados
Marketing de Resultados
 
Fehlertolerante Ladeprozesse in Oracle gegen schlaflose Nächte
Fehlertolerante Ladeprozesse in Oracle gegen schlaflose NächteFehlertolerante Ladeprozesse in Oracle gegen schlaflose Nächte
Fehlertolerante Ladeprozesse in Oracle gegen schlaflose Nächte
 
La Vente B2B
La Vente B2BLa Vente B2B
La Vente B2B
 
Analisis de sitio
Analisis de sitioAnalisis de sitio
Analisis de sitio
 
“Youth Employment- A Global Goal, A National Challenge” (ILO) 2006
“Youth Employment- A Global Goal, A National Challenge” (ILO) 2006 “Youth Employment- A Global Goal, A National Challenge” (ILO) 2006
“Youth Employment- A Global Goal, A National Challenge” (ILO) 2006
 
Tarea 1 marta mendoza
Tarea 1 marta mendozaTarea 1 marta mendoza
Tarea 1 marta mendoza
 
Presentacion cta cte-rotary-luis zapata 2016
Presentacion cta cte-rotary-luis zapata 2016Presentacion cta cte-rotary-luis zapata 2016
Presentacion cta cte-rotary-luis zapata 2016
 
Presentase Tutorial Blog dan Email
Presentase Tutorial Blog dan EmailPresentase Tutorial Blog dan Email
Presentase Tutorial Blog dan Email
 
Double optinandemailmarketing en
Double optinandemailmarketing enDouble optinandemailmarketing en
Double optinandemailmarketing en
 
Mary Rodwell - Triggers of Consciousness
Mary Rodwell - Triggers of ConsciousnessMary Rodwell - Triggers of Consciousness
Mary Rodwell - Triggers of Consciousness
 
al Andalus
al Andalusal Andalus
al Andalus
 

Similar a Vulnerabilidades ayer hoy

Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Cristián Rojas, MSc., CSSLP
 
Pablo González & Juan Antonio Calles – Cyberwar: Looking for… touchdown! [Roo...
Pablo González & Juan Antonio Calles – Cyberwar: Looking for… touchdown! [Roo...Pablo González & Juan Antonio Calles – Cyberwar: Looking for… touchdown! [Roo...
Pablo González & Juan Antonio Calles – Cyberwar: Looking for… touchdown! [Roo...RootedCON
 
Como hacer Mercadeo en el Web Social para PyME - Estrategias y Herramientas 2014
Como hacer Mercadeo en el Web Social para PyME - Estrategias y Herramientas 2014Como hacer Mercadeo en el Web Social para PyME - Estrategias y Herramientas 2014
Como hacer Mercadeo en el Web Social para PyME - Estrategias y Herramientas 2014Paul Fervoy
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasguesta3f6ce
 
Asegúr@IT IV - Botnets 2.0
Asegúr@IT IV - Botnets 2.0Asegúr@IT IV - Botnets 2.0
Asegúr@IT IV - Botnets 2.0Chema Alonso
 
La digitalización de la empresa familiar
La digitalización de la empresa familiarLa digitalización de la empresa familiar
La digitalización de la empresa familiarEsteban Romero Frías
 
Introducción a la economía digital 2017
Introducción a la economía digital 2017Introducción a la economía digital 2017
Introducción a la economía digital 2017Esteban Romero Frías
 
Eres más hackeable de lo que piensas
Eres más hackeable de lo que piensasEres más hackeable de lo que piensas
Eres más hackeable de lo que piensasRoberto Garcia Amoriz
 
Eres más hackeable de lo que crees
Eres más hackeable de lo que creesEres más hackeable de lo que crees
Eres más hackeable de lo que creesRober Garamo
 
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataquesWelcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataquesFrancisco Javier Barrena
 
Hacking SEO
Hacking SEOHacking SEO
Hacking SEOSemrush
 
Panorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en EspañaPanorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en EspañaThe Cocktail Analysis
 
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Francisco Javier Barrena
 
Mercadeo Digital para impulsar PyME Globales
Mercadeo Digital para impulsar PyME Globales Mercadeo Digital para impulsar PyME Globales
Mercadeo Digital para impulsar PyME Globales Paul Fervoy
 
TICs de Mercadeo para las PyME - Parque la Libertad
TICs de Mercadeo para las PyME - Parque la LibertadTICs de Mercadeo para las PyME - Parque la Libertad
TICs de Mercadeo para las PyME - Parque la LibertadPaul Fervoy
 
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...RootedCON
 

Similar a Vulnerabilidades ayer hoy (20)

Smart Grids y ciberseguridad
Smart Grids y ciberseguridadSmart Grids y ciberseguridad
Smart Grids y ciberseguridad
 
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
 
Pablo González & Juan Antonio Calles – Cyberwar: Looking for… touchdown! [Roo...
Pablo González & Juan Antonio Calles – Cyberwar: Looking for… touchdown! [Roo...Pablo González & Juan Antonio Calles – Cyberwar: Looking for… touchdown! [Roo...
Pablo González & Juan Antonio Calles – Cyberwar: Looking for… touchdown! [Roo...
 
Como hacer Mercadeo en el Web Social para PyME - Estrategias y Herramientas 2014
Como hacer Mercadeo en el Web Social para PyME - Estrategias y Herramientas 2014Como hacer Mercadeo en el Web Social para PyME - Estrategias y Herramientas 2014
Como hacer Mercadeo en el Web Social para PyME - Estrategias y Herramientas 2014
 
Seguridad Web 09
Seguridad Web 09Seguridad Web 09
Seguridad Web 09
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemas
 
Ciberseguridad Mexico
Ciberseguridad MexicoCiberseguridad Mexico
Ciberseguridad Mexico
 
Asegúr@IT IV - Botnets 2.0
Asegúr@IT IV - Botnets 2.0Asegúr@IT IV - Botnets 2.0
Asegúr@IT IV - Botnets 2.0
 
La digitalización de la empresa familiar
La digitalización de la empresa familiarLa digitalización de la empresa familiar
La digitalización de la empresa familiar
 
Introducción a la economía digital 2017
Introducción a la economía digital 2017Introducción a la economía digital 2017
Introducción a la economía digital 2017
 
Eres más hackeable de lo que piensas
Eres más hackeable de lo que piensasEres más hackeable de lo que piensas
Eres más hackeable de lo que piensas
 
Eres más hackeable de lo que crees
Eres más hackeable de lo que creesEres más hackeable de lo que crees
Eres más hackeable de lo que crees
 
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataquesWelcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
 
Hacking SEO
Hacking SEOHacking SEO
Hacking SEO
 
Panorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en EspañaPanorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en España
 
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
 
Mercadeo Digital para impulsar PyME Globales
Mercadeo Digital para impulsar PyME Globales Mercadeo Digital para impulsar PyME Globales
Mercadeo Digital para impulsar PyME Globales
 
TICs de Mercadeo para las PyME - Parque la Libertad
TICs de Mercadeo para las PyME - Parque la LibertadTICs de Mercadeo para las PyME - Parque la Libertad
TICs de Mercadeo para las PyME - Parque la Libertad
 
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
 
Fundamentos de ciberseguridad
Fundamentos de ciberseguridadFundamentos de ciberseguridad
Fundamentos de ciberseguridad
 

Más de Internet Security Auditors

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.Internet Security Auditors
 
OWASP Europe Summit Portugal 2008. Web Application Assessments
OWASP Europe Summit Portugal 2008. Web Application AssessmentsOWASP Europe Summit Portugal 2008. Web Application Assessments
OWASP Europe Summit Portugal 2008. Web Application AssessmentsInternet Security Auditors
 

Más de Internet Security Auditors (17)

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimiento
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.
 
OWASP Meeting. Tratamiento de Datos
OWASP Meeting. Tratamiento de DatosOWASP Meeting. Tratamiento de Datos
OWASP Meeting. Tratamiento de Datos
 
OWASP Europe Summit Portugal 2008. Web Application Assessments
OWASP Europe Summit Portugal 2008. Web Application AssessmentsOWASP Europe Summit Portugal 2008. Web Application Assessments
OWASP Europe Summit Portugal 2008. Web Application Assessments
 
OWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoOWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuo
 
OWASP Meeting. Análisis de ECO
OWASP Meeting. Análisis de ECOOWASP Meeting. Análisis de ECO
OWASP Meeting. Análisis de ECO
 

Último

POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 

Último (19)

POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 

Vulnerabilidades ayer hoy

  • 1. Su Seguridad es Nuestro Éxito Vicente Aguilera Díaz Socio. Director Dpto. Auditoría vaguilera@isecauditors.com - @VAguileraDiaz Vulnerabilidades animadas de ayer y hoy Hack&Beers Barcelona 20 de febrero de 2015
  • 3. Índice 1. ¿No aprendemos? 2. Una vulnerabilidad especial 3. Análisis rápido sobre Facebook Vulnerabilidades animadas de ayer y hoy
  • 12. Modificación de contraseña Petición estándar: POST /ajax/settings/account/password.php HTTP/1.1 Host: www.facebook.com fb_dtsg=BSFY7tMXuZW3Wd8&password_strength=2&password_old=123&pass word_new=1234&password_confirm=1234&__user=9996417249539&__a=1&__ dyn=7nm8RW8BgCByXzpQ9UoGyk4BBxN6yUmnOVbGAFp9qzQC-C26x5- 9V8CdDx2vBhEoBBzEy78ZS2zUy3yo&__req=30&ttstamp=36581708955714778 31176789518710056&__rev=1601460 Vulnerabilidades animadas de ayer y hoy
  • 13. Modificación de contraseña Petición “mínima”: POST /ajax/settings/account/password.php HTTP/1.1 Host: www.facebook.com fb_dtsg=BSFY7tMXuZW3Wd8&password_strength=2&password_old=123&pass word_new=1234&password_confirm=1234&__user=9996417249539&__a=1 Vulnerabilidades animadas de ayer y hoy
  • 14. Confirmar petición de amistad Petición estándar: POST /ajax/reqs.php HTTP/1.1 Host: www.facebook.com fb_dtsg=BSFY7tMXuZW3Wd8&confirm=9316813227&type=friend_connect&requ est_id=9316813227&list_item_id=9316813227_1_req&status_div_id=931681322 7_1_req_status&inline=1&ref=jewel&ego_log=AS8k5U8Ov5FMMQ2rPKND8uFV w2tLuXNakEN4ZAed90GWvx5j1oeb6ui2oLz812a_EGwV5p7ovtWd7IZsdwss4k_ 4Yu66h7ZavA2S5KQJQFQZzXNpnGKvn_1VJMQIPBpE8BRYywXrdiR2DBeqpO bVBQ&actions[accept]=1&nctr[_mod]=pagelet_bluebar&__user=9996417249539 &__a=1&__dyn=7nm8RW8BgCByXzpQ9UoGyk4BBxN6yUmnOVbGAFp9qzQC- C26x59V8CdDx2vBhEoBBzEy78ZS2zUy3yo&__req=30&ttstamp=36581708955 71477831176789518710056&__rev=1601460 Vulnerabilidades animadas de ayer y hoy
  • 15. Confirmar petición de amistad Petición “mínima”: POST /ajax/reqs.php HTTP/1.1 Host: www.facebook.com fb_dtsg=BSFY7tMXuZW3Wd8&confirm=9316813227&type=friend_connect&req uest_id=9316813227&list_item_id=9316813227_1_req&status_div_id=93168132 27_1_req_status&__user=9996417249539&__a=1 Vulnerabilidades animadas de ayer y hoy
  • 16. Añadir dirección de email secundaria Petición estándar: POST /settings/email/add/submit/ HTTP/1.1 Host: www.facebook.com fb_dtsg=BSFY7tMXuZW3Wd8&new_email=test%40test.com&__user=99964172 49539&__a=1&__dyn=7nm8RW8BgCByXzpQ9UoGyk4BBxN6yUmnOVbGAFp9 qzQC-C26x5- 9V8CdDx2vBhEoBBzEy78ZS2zUy3yo&__req=30&ttstamp=36581708955714778 31176789518710056&__rev=1601460 Vulnerabilidades animadas de ayer y hoy
  • 17. Añadir dirección de email secundaria Petición “mínima”: POST /settings/email/add/submit/ HTTP/1.1 Host: www.facebook.com fb_dtsg=BSFY7tMXuZW3Wd8&new_email=test%40test.com&__user=99964172 49539&__a=1 Vulnerabilidades animadas de ayer y hoy
  • 18. Añadir foto de perfil Petición estándar: POST /ajax/timeline/profile_pic_upload?source=megaphone_activation&__user= 9996417249539 &__a=1&__ dyn=7nm8RW8BgCByXzpQ9UoGyk4BBxN6yUmnOVbGAFp9qzQC-C26x5- 9V8CdDx2vBhEoBBzEy78ZS2zUy3yo&__req=30&ttstamp=36581708955714778 31176789518710056&__rev=1603460 HTTP/1.1 Host: upload.facebook.com ------WebKitFormBoundaryPXTrB9sO207fJ6Gd Content-Disposition: form-data; name="fb_dtsg" BSFY7tMXuZW3Wd8 ------WebKitFormBoundaryPXTrB9sO207fJ6Gd Content-Disposition: form-data; name="profile_id" 9996417249539 ------WebKitFormBoundaryPXTrB9sO207fJ6Gd Content-Disposition: form-data; name="file"; filename="noback.jpg" Content-Type: image/jpeg Vulnerabilidades animadas de ayer y hoy
  • 19. Añadir foto de perfil Petición mínima: POST /ajax/timeline/profile_pic_upload?source=megaphone_activation&__user=99964 17249539&__a=1 HTTP/1.1 Host: upload.facebook.com ------WebKitFormBoundaryPXTrB9sO207fJ6Gd Content-Disposition: form-data; name="fb_dtsg" BSFY7tMXuZW3Wd8 ------WebKitFormBoundaryPXTrB9sO207fJ6Gd Content-Disposition: form-data; name="profile_id" 9996417249539 ------WebKitFormBoundaryPXTrB9sO207fJ6Gd Content-Disposition: form-data; name="file"; filename="noback.jpg" Content-Type: image/jpeg Vulnerabilidades animadas de ayer y hoy
  • 20. …. y podemos extrapolarlo al resto de operativas Vulnerabilidades animadas de ayer y hoy
  • 21. fb_dtsg : el Santo Grial Vulnerabilidades animadas de ayer y hoy
  • 23. fb_dtsg • Longitud: 15 • Rango de caracteres: – [A-Z] – [a-z] – [0-9] – [_] Vulnerabilidades animadas de ayer y hoy
  • 24. fb_dtsg • Único por usuario y petición Vulnerabilidades animadas de ayer y hoy
  • 25. fb_dtsg • Único por usuario y petición – ¡No se destruyen tras la petición! Vulnerabilidades animadas de ayer y hoy
  • 26. fb_dtsg • 3 últimos caracteres no afectan Vulnerabilidades animadas de ayer y hoy
  • 27. fb_dtsg • 3 últimos caracteres no afectan – pueden ser eliminados directamente Vulnerabilidades animadas de ayer y hoy
  • 28. fb_dtsg • 2 primeros caracteres no suelen variar Vulnerabilidades animadas de ayer y hoy
  • 29. fb_dtsg • 2 primeros caracteres no suelen variar – fb_dtsg = AQ… Vulnerabilidades animadas de ayer y hoy
  • 30. fb_dtsg • Hasta ahora tenemos: fb_dtsg = AQ XXXXXXXXXX YYY Vulnerabilidades animadas de ayer y hoy
  • 31. fb_dtsg • Otras consideraciones: – Usuarios con mayor actividad generarán más tokens válidos… – Evitar posibles medidas abusando operativas no sensibles – Y … Vulnerabilidades animadas de ayer y hoy
  • 32. fb_dtsg • Otras consideraciones: – Usuarios con mayor actividad generarán más tokens válidos… – Evitar posibles medidas abusando operativas no sensibles – Hay muchas otras vías de análisis – y … Vulnerabilidades animadas de ayer y hoy
  • 33. fb_dtsg ¡El resto es imaginación¡ No limites tu capacidad de inventiva: mente abierta Vulnerabilidades animadas de ayer y hoy
  • 34. fb_dtsg ¡El resto es imaginación¡ No limites tu capacidad de inventiva: mente abierta Vulnerabilidades animadas de ayer y hoy
  • 35. Su Seguridad es Nuestro Éxito C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com ? C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Vicente Aguilera Díaz www.vicenteaguileradiaz.com @VAguileraDiaz
  • 36. Su Seguridad es Nuestro Éxito C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Su Seguridad es Nuestro Éxito C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com