Spain/Agenda Chapter Meeting

Cross-Site Scripting (XSS) attacks are at number one in Open Source Vulnerability Database (OSVDB) and according to a recent report by Trustwave, 82% of web applications are vulnerable to XSS flaws. PHP---Hypertext Preprocessor is by far the most popular server-side web programming language. In this paper, we perform security analysis of PHP-based XSS protection mechanisms available in the wild. The analysis includes PHP's built-in functions (11 common examples of using PHP's built-in functions in the wild), 10 popular customized solutions powering thousands of PHP files on GitHub and 8 commercially used open-source web applications' frameworks like CodeIgniter (in use on hundreds of thousands of web applications), htmLawed (its Drupal module has been downloaded more than 19000 times), HTML Purifier (integrated in a another popular PHP framework named Yii), Nette (in use on a website of the president of The Czech Republic), PHP Input Filter (more than 1500 PHP files on GitHub are using it), PEAR's HTML Safe (powering more than 100 PHP files), CakePHP (in use on more than 20K PHP files) and Laravel PHP framework (winner of best PHP framework of the year 2013) etc. This paper shows how a motivated attacker can bypass these XSS protection mechanisms. We show XSS bypasses for modern and old browsers and report other issues that we found in these protection mechanisms. The developers of CodeIgniter, htmLawed, HTML Purifier and Nette have acknowledged our findings and our suggestions have been implemented in top-notch frameworks like CodeIgniter, htmLawed and Nette.

Esta presentación mostrará como realizar ingeniería inversa de una aplicación Android, y cuales son las vulnerabilidades más comunes que se encuentran en estas apliaciones. Por otro lado, se mostrarán algunas medidas que pueden aplicar los desarrolladores para proteger y securizar sus aplicaciones.

El principal objetivo de esta presentación es el de tratar el panorama actual del Cibercrimen desde un punto de vista crítico y documentado ofreciendo a los asistentes un Timeline detallado de los eventos más relevantes del panorama, desmintiendo una serie de noticias que genera el fenómeno "hype", "cyber-%". Además de desmentir esta serie de noticias y publicaciones se aportará una visión profesional y detallada de los actores que operan el Cibercrimen desgranando toda la información contrastada y verificada de manera que los asistentes podrán conocer como desde dentro operan este tipo de bandas organizadas. Para terminar de comprender y encajar todas las partes del puzzle, se realizará una demo en la cual se mostrará uno de los ataques que ha ganado más popularidad en 2013, los ataques a sistemas PoS (Point of Sale). La demo consistirá en infectar un punto de venta y comprobar como a partir de la infección las tarjetas de crédito son reportadas a los criminales. Estas tarjetas serán duplicadas en vivo y usadas para hacer un pago como demostración.

El malware se está haciendo latente en casi todas las áreas relacionadas con la informática. Si repasamos los últimos incidentes de seguridad relacionado con grandes compañías lo más probable es que haya un malware relacionado. Para dar un ejemplo, en los equipos de respuesta ante incidentes es normal el incorporar no solo analistas forenses, sino alguien que ejerza tareas relacionadas con el "ecrime". Pero, ¿qué tareas realiza un equipo ecrime? En la presentación se podrán ver procedimientos, actuaciones y casos de uso de un equipo de ecrime. Esto servirá para ver en qué focalizan sus esfuerzos y como resuelven las campañas en las que los cibercriminales actúan para cometer fraude, clonar tarjetas, infectar clientes, etc.