Top 10 Técnicas de Seguridad Web en el 2009

El director de WhiteHatSec, Jeremiah Grossman, reconocido en el mundo de la seguridad informática, por sus aportes en el campo de la seguridad web, ha publicado en su blog una entrada llamada "Top Ten Web Hacking Techniques of 2009 (Official)", la cual pretende ser una recopilación de las nuevas técnicas en seguridad web publicadas durante el 2009.

Constantemente salen nuevas técnicas de seguridad web, pero muchas veces estas son dejadas en el olvido en blogs y papers poco visitados/descargados, la finalidad de este top, es dar a conocer estas nuevas tecnicas, para poder tenerlas en cuenta a la hora de testear o programar una aplicación web. El TOP 10 de Tenicas en Seguridad Web del 2009 es:

  1. Creating a rogue CA certificate
    Alexander Sotirov, Marc Stevens, Jacob Appelbaum, Arjen Lenstra, David Molnar, Dag Arne Osvik, Benne de Weger
  2. HTTP Parameter Pollution (HPP)
    Luca Carettoni, Stefano diPaola
  3. Flickr's API Signature Forgery Vulnerability (MD5 extension attack)
    Thai Duong and Juliano Rizzo
  4. Cross-domain search timing
    Chris Evans
  5. Slowloris HTTP DoS
    Robert Hansen, (additional credit for earlier discovery to Adrian Ilarion Ciobanu & Ivan Ristic - “Programming Model Attacks” section of Apache Security for describing the attack, but did not produce a tool)
  6. Microsoft IIS 0-Day Vulnerability Parsing Files (semi‐colon bug)
    Soroush Dalili
  7. Exploiting unexploitable XSS
    Stephen Sclafani
  8. Our Favorite XSS Filters and how to Attack them
    Eduardo Vela (sirdarckcat), David Lindsay (thornmaker)
  9. RFC1918 Caching Security Issues
    Robert Hansen
  10. DNS Rebinding (3-part series Persistent Cookies, Scraping & Spamming, and Session Fixation)
    Robert Hansen

Cada técnica expuesta en este TOP 10, será explicada detalladamente en los eventos IT-DefenseRSA USA 2010 donde Jeremiah Grossman dictará la charla “2010: A Web Hacking Odyssey”.

Puedes ver los mas de 80 articulos propuestos para este TOP10 en este enlace, aunque no quedaron en el podio, no dejan de ser una buena fuente de información si te interesa el área de la seguridad en aplicaciones web.

Subir