tag:blogger.com,1999:blog-74908175706521803122024-03-06T03:00:22.062-03:00Security HackSitio personal de Ariel M. Liguori De GottigAriel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.comBlogger2125tag:blogger.com,1999:blog-7490817570652180312.post-44696602674382810222009-01-26T10:20:00.007-02:002009-01-26T11:04:51.836-02:00RequestPolicy: Protegiéndonos de CSRF, Clickjacking y más.<a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://www.requestpolicy.com/images/flag-large.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 128px; height: 128px;" src="http://www.requestpolicy.com/images/flag-large.png" alt="" border="0" /></a><br /><br />Hace unos días estuvimos hablando del creciente <a href="http://sechack.blogspot.com/2009/01/clickjacking-cuidado-dende-clickeas.html">problema del Clickjacking</a> y surgió entonces una pregunta básica, ante un problema siempre buscamos la solución, pero ante estos temas el camino parecía sinuoso y oscuro, ¿qué hemos conseguido entonces? <span style="font-weight: bold;">RequestPolicy</span>.<br /><br /><span style="font-style: italic;">¿Qué es RequestPolicy?</span><br />Un addon para Firefox que nos permite tener el control sobre todas las peticiones de cross-site que pasen sobre nuestro cadáver/browser.<br /><br /><span style="font-style: italic;">¿Qué logramos con ésto?</span><br />Pues tener control sobre una infinidad de peticiones que no necesariamente serán las que nosotros hacemos ;).<br /><br /><span style="font-style:italic;">¿Qué quiere decir ésto?</span><br />Que no caeremos más en la trama de enviar peticiones o consultas falsas (<a href="http://en.wikipedia.org/wiki/Cross-site_request_forgery">CSRF</a>), ni tampoco dejaremos que esos pequeñísimos iframes se carguen en la página que estamos visitando (<a href="http://www.kriptopolis.org/clickjacking">clickjacking</a>).<br /><br />Actualmente RequestPolicy nos brinda su versión 0.5.2 y es desarrollada por Justin Samuel. Aunque hay muchas mejoras en camino ya es una obra digna de tener en nuestra PC ayudándonos en la interminable tarea de la seguridad.<br /><br />Pueden descargarse RequestPolicy desde la página de <a href="https://addons.mozilla.org/en-US/firefox/addon/9727/">addons firefox</a>.<br />Pueden encontrar un breve tutorial en la <a href="http://www.requestpolicy.com/">página oficial del proyecto</a>.<br /><br />Algo más, se ve que lo que dijimos en áquel post no estaba tan errado, por lo cual seguimos insistiendo que el <a href="https://addons.mozilla.org/es-ES/firefox/addon/722">addon NoScript</a> <img src="https://addons.mozilla.org/en-US/firefox/images/addon_icon/722/1232179624" />sigue siendo más que valioso, úsenlo!Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-91521383800824759672009-01-23T11:31:00.006-02:002009-01-23T14:52:11.088-02:00Clickjacking: Cuidado dende Clickeas!Jeremiah Grossman y Robert Hansen hacé tiempo han delatado la presencia de éste nuevo tipo de...¿ataque? pues sí. <br /><br />¿Qué es el ClickJacking?<br />Si bien el nombre es intuitivo me limitaré a decir que es una técnica utilizada para disfrazar vínculos, ¿qué significa esto? simple, en una determinada pagina un link a google puede dejar de ser lo que parece y redirigirte a otros sites, e inclusive puede redirigirte al _'mismo'_sitio_alterado_(ataques de pishing a la vista), en síntesis una vez que simplemente clickeas puedes ser el culpable del fin de tu ordenador/datos/etc.<br /><br />¿Como prevenirlo o detectarlo?<br />Realmente no estoy al tanto de métodos directos de detección/evitación de este tipo de ataques, tengo entendido que el addon de Firefox NoScript puede ser de ayuda, no obstante prefiero tener cuidado y mirar bien donde clickeo (Not with my eyes, of course).<br /><br />Datos de interes:<br /><a href="http://www.sectheory.com/clickjacking.htm">SecTheory</a><br /><a href="http://www.kriptopolis.org/clickjacking">Kriptopolis</a><br /><a href="http://www.securityartwork.es/2009/01/23/ofuscacion-de-la-barra-de-estado-en-firefox-305-clickjacking-poc/">Security Art Work</a>Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0