Si fue buena o mala... que lo digan quienes la disfrutaron o sufrieron. Supongo que de todo habrá. Pero para ella utilicé una serie de recursos que quizá pudieran ser de utilidad a quienes quieren tener con qué jugar y quisiera irlos colgando por aquí.
Para empezar, ya subí las slides a Slideshare. Quien haya asistido a alguna charla mía o me haya tenido como profe sabrá que las presentaciones me gustan poco. Que apenas las uso para las introducciones y algunos puntos que quiero resaltar. De modo que tampoco puede esperarse mucho de ellas. En todo caso... ahí va:
(In)seguridad en componentes cliente de aplicaciones web - UMA Hackers Week 2015
Claro que esta presentación tan cortita no vale gran cosa si no va acompañada de las demos. En algún caso, las diapositivas dicen casi lo contrario de lo que yo quería expresar, como cuando habla de la "protección" que el uso de scripts puede ofrecer contra las técnicas de Clickjacking. En la diapositiva aparece, pero una demo posterior dejará claro que no es una solución demasiado fiable...
Claro que esta presentación tan cortita no vale gran cosa si no va acompañada de las demos. En algún caso, las diapositivas dicen casi lo contrario de lo que yo quería expresar, como cuando habla de la "protección" que el uso de scripts puede ofrecer contra las técnicas de Clickjacking. En la diapositiva aparece, pero una demo posterior dejará claro que no es una solución demasiado fiable...
Ahí van la aplicación vulnerable y las demos:
Hay un botón que pone "Download ZIP" que permite bajárselo todo de una vez. Dentro hay un fichero PDF con instrucciones. Así que, quien tenga ganas... ¡a jugar y a mirar código!
Acabo de subirlo y no he podido comprobar que todo está correcto. Si veo algo raro, lo indicaré por aquí.
Y, ojo, que de la aplicación sólo se puede aprender cosas malas. Tiene todos los defectos y vulnerabilidades que pude ponerle. Incluso los ataques tienen sus propios fallos de seguridad... Resumiendo: que nadie la instale en un entorno de producción. Ni tampoco en cualquier otro sistema que no quiera ver comprometido. Lo suyo es una máquina virtual o un PC que vaya a ser formateado después de las pruebas.
Saludos
Saludos
No hay comentarios:
Publicar un comentario