The Great Cookie Thief Miguel Angel Bravo (Mackaber Witckin)
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
The Great Cookie Thief
Miguel Angel Bravo (Mackaber Witckin)
ADVERTENCIA
ADVERTENCIA
LOS ATAQUES AQUÍ MOSTRADOS SON REALES Y SON MOSTRADOS
ÚNICAMENTE CON FINES EDUCATIVOS, EL AUTOR NO SE HACE RESPONSIBLE DEL MAL USO
QUE SE LE PUEDA DAR.
HAPPY HACKING! :)
¿Quién Soy?
¿Quién Soy?• Ingeniero en Tecnologías de la Información y Comunicaciones
• Co-founder de Winero
• Co-founder de Apprendiz
• Freelancer
• Co-founder de Comunidad Código
• Investigador independiente
Agenda• Cookies
• Ataques Físicos
• Chrome, Firefox, Safari…
• Ataques Locales
• Session Sidejacking
• Firesheep
• Ataques Remotos
• XSS
• XSSED
• BEEF
• The Great Cookie Thief
• Mitigation
Tipos de Ataques de Session Hijacking
Físicos Locales Remotos
Cookies
Cookie• Viene de “Magic Cookie”
• Guardan información de manera local para el usuario, como: una sesión, un carrito de compra o el tamaño de la pantalla
• Se compone de:
• Nombre
• Contenido
• Dominio
• Ruta
• Tipo de Conexión
• Fecha de Creación
• Fecha de Caducidad
Ejemplo
Ataques Físicos• Requieren tener acceso al dispositivo en el cual se encuentran las cookies almacenadas
• Muchos navegadores hoy en día usan bases de datos de cookies encriptadas
• Es posible que algunas cookies puedan ser obtenidas mediante javascript:document.cookie
• DEMO: Chrome
• DEMO: Firefox
• DEMO: Safari
• DEMO: Tor
Ataques Locales
10 min?
Session Sidejacking• Consiste escanear paquetes en una red local en búsqueda de los cookies de sesión
• Generalmente los cookies de sesión son enviados con cada petición al servidor
• Usualmente son acompañados por un ataque de ARP Spoofing
• Generalmente no es posible leer los contenidos del paquete si la conexión cuenta con SSL
Firesheep• Extensión de Firefox creada por Eric Butler en 2010, para ejemplificar el mal uso de SSL en muchos sitios populares
• Debido a su fácil funcionamiento cualquier persona podía usarlo sin tener muchos conocimientos técnicos
• Este evento derivo a que muchos sitios cambiaran a usar HTTPS en todas sus peticiones
• Herramientas Similares:
• Faceniff
• WhatsApp sniffer
• DroidSheep
• Hamster & Ferret
Ataques Remotos
15 min?
XSS: Cross Site Scripting
• Es un tipo de vulnerabilidad que se encuentra en las aplicaciones web, con la cual son capaces de inyectar código javascript en algún sitio
• La mayoría de los navegadores actuales cuentan con mecanismos para filtrar ataques de este tipo, pero NO son 100% infalibles
• Es un tipo de vulnerabilidad bastante popular, según un reporte
Tipos de XSS• Reflejado (No persistente)
• Ejemplo: http://jsbin.com/cericoti/1#alert("XSS")
• Persistente
• Ejemplo: algun comentario con <script>alert(1)</script> sin escapar
• Basado en DOM
• Ejemplo: Aplicaciones basadas en js
Self-XSS• Es un ataque de ingeniería social usado para obtener control sobre la cuenta de alguna víctima
• La víctima es engañada de ejecutar código sobre algun sitio con la promesa de obtener alguna funcionalidad extra: cambiar el color del sitio, hackear alguna cuenta, etc
• Caso más popular: Facebook
The Great Cookie Thief
20 min?
Omnomnify
• Es un sitio diseñado para promover la película de plaza sesamo: "The Cookie Thief "
• Cambia todas las imagenes del sitio por otras mostrando al monstruo comegalletas
POC• Servidor en rails usando la función "send_data", para enviar imágenes aleatorias
• Evita el filtro de XMLHttpRequest
• Evita el CSP (en caso de que bloqueé scripts)
• Menos "ruidoso" que window.location =""
Poder Ilimitado (O algo así…)
• Usando el ataque se ejecuta el script del lado del cliente y se puede rescatar del lado del servidor, sin embargo, es complicado hacer más acciones después de esto.
• Formas en que podría funcionar:
• Usando un applet
• Cargando otro script
• Cargando una imagen QR
Mitigación
Http-Only y Secure Cookie
• Http-Only: se refiere a cookies que únicamente pueden ser leídas por el navegador (no por javascript) esto para prevenir ataques de XSS
• Secure: se refiere a cookies que únicamente pueden viajar a través de una conexión segura
CSP: Content Security Policy
• Es un concepto de seguridad propuesto por la W3C
• Consiste en límitar el contenido que puede desplegar una página a fuentes confiables para evitar ataques de SSL
• Algunos navegadores modernos ya cuentan con compatibilidad para este estándar
Links de Interés
• http://www.wikihow.com/View-Cookies
• https://www.owasp.org/index.php/Category:OWASP_Cookies_Database
• https://github.com/codebutler/firesheep/tree/master/xpi/handlers
• https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
• https://drive.google.com/file/d/0B_Ci-1YbMqshWUtlaGRyLVBVd28/preview?pli=1
• http://www.xssed.com/
• http://excess-xss.com/
• https://www.httpsnow.org/
¿Preguntas?
Referencias
• http://n8henrie.com/2014/05/decrypt-chrome-cookies-with-python/
• https://jimshaver.net/2015/01/10/4-years-later-what-did-we-learn-from-firesheep-and-sslstrip/
• https://developer.chrome.com/extensions/contentSecurityPolicy
• http://www.engadget.com/2015/02/13/cookie-monster-omnomnom-thief/
• https://www.facebook.com/help/246962205475854
• http://blog.codinghorror.com/protecting-your-cookies-httponly/
• http://archive.news.softpedia.com/news/Facebook-Users-Tricked-into-Loading-Malicious-Code-in-Their-Browsers-146604.shtml
• http://www.techtimes.com/articles/19496/20141105/top-5-facebook-scams-cyber-criminals-use-to-lure-you.htm
• http://www.bitdefender.com/media/materials/white-papers/en/Bitdefender_WhitePaper_Facebook_Scams_web.pdf
• Imágenes cortesía de Google
• Iconos cortesía de http://www.flaticon.com/
Contacto
Contacto
• Twitter: @Mackaber
• Facebook: /mackaber
• correo: [email protected]
• web: securityisaj0ke.blogspot.com
• web 2: mackeber.me
Gracias!
Related Documents
