XSS for fun and profit

Tipo:
Charla

Nombre:
lord epsylon

Titulo:
XSS for fun and profit

Resumen:
Sencilla explicación de la técnica Cross-Site Scripting (XSS), con la exposición de algunos vectores novedosos y ejemplos prácticos de explotación de la vulnerabilidad de diferentes maneras.

Palabras clave:
XSS, inyeccion, router jacking, browser hijacking

Conocimientos recomendados:
No hay nada en toda la charla, salvo los ejemplos prácticos, que no este en Internet.

Estructura/Contenido:
1.- Introducción
2.- Tipos de Ataques
- Reflected Cross Site Scripting (XSS Reflejado)
- Stored Cross Site Scripting (XSS Persistente)
- DOM Cross Site Scripting (DOM XSS)
- Cross Site Flashing (XSF)
- Cross Site Request/Reference Forgery (CSRF)
- Cross Frame Scripting (XFS)
- Cross Zone Scripting (XZS)
- Cross Agent Scripting (XAS)
- Cross Referer Scripting (XRS)
- Denial of Service (XSSDoS)
- Flash! Attack
- Induced XSS
- Image Scripting
- anti-DNS Pinning
- IMAP3 XSS
- MHTML XSS
- Expect Vulnerability
3.- Evitando Filtros
4.- PoC examples - Bypassing filters
- Data Control PoC
- Frame Jacking PoC
5.- Técnicas de ataque
+ Classic XSS - Robando “cookies”
+ XSS Proxy
+ XSS Shell
+ Ajax Exploitation
+ XSS Virus
+ XSS Worms
+ Router jacking
+ WAN Browser hijacking
- DNS cache poison
- XSS Injected code on server
- Practical Browser Hijacking
6.- XSS Cheats - Fuzz Vectors
7.- Screenshots
8.- Herramientas
9.- Links
10.- Bibliografía

Materiales del nodo:
un portátil y un proyector

Lecturas recomendadas:
XSS en cualquiera de sus vertientes.

Duración:
1 hora o 1 y media según la audiencia

Seguridad de asistencia (del ponente):
confirmado

Preferencia horaria:
horario nocturno

Material necesario:
proyector

Material generado:
- Paper (presentación) [mirror1][mirror2]