SOURCE Barcelona 2011 – Parte 1
Después de haber podido pasar un rato en las SOURCE de Barcelona, tengo que decir que ha sido una experiencia muy muy recomendable, charlas de buena calidad, en un entorno relajado y donde las horas se pasan rápido! Un entorno ideal para disfrutar de la seguridad y aprovechar para compartir un momento con buena gente!
Y ahora si, repaso de algunas de las charlas, pertenecientes a la tarde del miércoles 16 de noviembre.
Metasploit: Hacker’s Swiss Army Knife
Charla super dinámica, de Jonathan Cran (Rapid7) y Joshua Smith (JHUAPL), en la que se hizo un repaso de la arquitectura de metasploit y, posteriormente, se vieron toda una serie de casos prácticos para sacarle el máximo partido a Metasploit!
Se vieron desde las diferentes posibilidades que ofrecen los «resource files» para la automatización de tareas hasta la creación de un bot para IRC para controlar metasploit vía RPC!
Una charla super entretenida, y muy muy valiente, en la que se se prepararon diferentes demostraciones para enseñar en directo! Por cierto, en el siguiente repositorio de jcran podéis encontrar algo de los materials de la conferencia, muy recomendable echarle un ojo: https://github.com/jcran/source_barcelona_2011/
RESTful Services, the Web Security Blind Spot
Ofer Shezaf (Hewlett Packard) repasa los servicios RESTful, sus características y peculiaridades, así como las consideraciones a tener en cuenta a la hora de revisar la seguridad de este tipo de servicios Web, y algunas ideas para automatizar (fuzzing) la revisión de éstos.
Charla esta vez más teórica, donde, eso sí, los contenidos se explicaron de una manera muy clara.
Security Goodness with Ruby on Rails
Desde el «spanish track», Daniel Pélaez (Gotham Digital Science) hizo un repaso (mucho más que un repaso!!!) de la tecnología Rails, repasando el paradigma MVC para el desarrollo de aplicaciones Web, algunos detalles de la implementación concreta de Rails y después, seguridad seguridad y seguridad en Rails 🙂
Se explicaron desde vulnerabilidades más específicas de estos entornos, por ejemplo, «mass-assignments» hasta como afectan vulnerabilidades más tradicionales en entornos Web como Cross-Site Scripting o SQL Injection.
Un punto muy fuerte de la charla es que no se conformó con ver como romper aplicaciones Rails, sino que también se repasaron las salvaguardas que ofrece el entorno Rails para evitar diferentes tipos de vulnerabilidades, así como plug-ins de terceros para implementar características relacionadas con la seguridad como la autenticación o la autorización de la aplicación . Lo dicho, una charla muy muy completa!
Testpurposes 
Deja una respuesta