Loading…
Back To Schedule
Friday, July 26 • 3:00pm - 5:00pm
Software exploting, desde lo ¿viejo? a lo ¿nuevo?

Log in to save this to your schedule, view media, leave feedback and see who's attending!

En este taller los asistentes aprenderán 2 técnicas de explotación de aplicaciones, SQLi lo viejo pero muy común con diferentes variantes no tan tradicionales (time/erro based) y Reflection, lo nuevo pero (todavía) no muy utilizado, permitiendo hacer una aplicación Java zombi.

Muchas las técnicas de explotación en aplicaciones han sido fallas que han sido más que reportadas y documentadas desde hace muchos años, por otro lado, los atacantes buscan técnicas novedosas para seguir comprometiendo las información contenida de las aplicaciones. En este taller los asistentes conocerán como identificar, explotar y remediar (a nivel código fuente) dos fallas de seguridad:

SQL Injection. Aquí se revisará una falla de seguridad viejísima, pero muy difundida actual y seguramente en el futuro, los asistentes realizarán la identificación y explotación de las variantes “basada en tiempo” y “basada en errores” de la vulnerabilidad SQL Injection, también se hará un ejercicio remediación de está.

Reflection. Si bien el uso de reflexión en los lenguajes de los programadores lleva un par de años, este no ha sido aún tan difundido. Sin embargo, para los usuario maliciosos, esta característica que poseen la gran mayoría de los modernos lenguajes de programación no ha pasado desapercibida. Aquí los asistentes conocerán de que trata la reflexión y como los atacantes hoy la utilizan, desarrollarán un programa que, mediante el uso de reflexión, harán zombi una aplicación Java ordenándole que haga lo que su “amo” le diga. También habrá un ejercicio para evitar atraques que utilicen esta técnica.

Speakers
avatar for Carlos Isaac Sagrero Campos

Carlos Isaac Sagrero Campos

OWASP CDMX
Licenciado en informática especialista en seguridad en aplicaciones, egresado del Tecnológico de Estudios Superiores de Ecatepec, cuenta con 10 años de experiencia en la definición, coordinación y ejecución de “hackeo” éticos, análisis de vulnerabilidades, pruebas de penetración... Read More →


Friday July 26, 2019 3:00pm - 5:00pm CDT
Universidad La Salle