Jeremiah Grossman publica, desde 2006, un listado con las mejores técnicas de hacking en aplicaciones y servicios web que han aparecido el año anterior. Acaba de presentar la de este año: Top Ten web hacking techniques of 2009 (Official), elegida por algunos de los mejores expertos en seguridad (web) que podemos encontrar a escala internacional: el propio Jeremiah, Rich Mogull, Dinis Cruz, Chris Hoff, HD Moore, Billy Rios, Dan Kaminsky, Steven Christey, Jeff Forristal, Michal Zalewski, y Romain Gaucher.
La producción o innovación de nuevas técnicas en el año pasado ha sido bastante elevada, con un registro de hasta 82 nuevos ataques presentados en foros, conferencias, revistas, blogs, etc, con lo que lo han tenido difícil para elegir. Se puede consultar el top ten en el blog del propio Jeremiah.
Yo, personalmente, me quedo con estas, no por seguir orden particular, temática concreta, o hacer mi propio top ten, sino sencillamente porque me llaman la atención (advierto que no he podido leer detenidamente más que unos cuántos ataques de la lista de Jeremiah):
- HTTP Parameter Pollution
- Microsoft IIS 0-day vulnerability parsing files (semi-colon bug)
- HTML5 XSS
- HTML5 new XSS vectors
- Web pages detecting virtualized browsers and other tricks (hablamos de ello en su día)
- exploiting unexploitable XSS
- clickjacking & OAuth
- Advanced SQL Injection to operating system full control
- Exploiting Facebook application XSS Holes to make API requests (en general, todo el trabajo de Social Hacking merece nuestra atención).
Slds!
Si te gustó esta entrada, quizás quieras suscribirte al blog por RSS...
No hay comentarios:
Publicar un comentario