Security BSides CDMX

En este taller los asistentes aprenderán 2 técnicas de explotación de aplicaciones, SQLi lo viejo pero muy común con diferentes variantes no tan tradicionales (time/erro based) y Reflection, lo nuevo pero (todavía) no muy utilizado, permitiendo hacer una aplicación Java zombi.

Muchas las técnicas de explotación en aplicaciones han sido fallas que han sido más que reportadas y documentadas desde hace muchos años, por otro lado, los atacantes buscan técnicas novedosas para seguir comprometiendo las información contenida de las aplicaciones. En este taller los asistentes conocerán como identificar, explotar y remediar (a nivel código fuente) dos fallas de seguridad:

SQL Injection. Aquí se revisará una falla de seguridad viejísima, pero muy difundida actual y seguramente en el futuro, los asistentes realizarán la identificación y explotación de las variantes “basada en tiempo” y “basada en errores” de la vulnerabilidad SQL Injection, también se hará un ejercicio remediación de está.

Reflection. Si bien el uso de reflexión en los lenguajes de los programadores lleva un par de años, este no ha sido aún tan difundido. Sin embargo, para los usuario maliciosos, esta característica que poseen la gran mayoría de los modernos lenguajes de programación no ha pasado desapercibida. Aquí los asistentes conocerán de que trata la reflexión y como los atacantes hoy la utilizan, desarrollarán un programa que, mediante el uso de reflexión, harán zombi una aplicación Java ordenándole que haga lo que su “amo” le diga. También habrá un ejercicio para evitar atraques que utilicen esta técnica.