C.R.I.M.E. : Una demo en vídeo
Probablemente ya hayas oído hablar de C.R.I.M.E., el nuevo trabajo de Juliano Rizzo (@julianor) y Thai Duong que va a ser presentado en la ciudad de Buenos Aires durante la Ekoparty, esta misma semana. Esta es una de las cosas que más pena me da perderme, pero en Youtube ya está publicado el vídeo con la demo de C.R.I.M.E. y es... ¿cómo lo hace? ¿Cómo roba las cookies de las sesiones bajo SSL de los sitios?
Si estas por la Eko esta semana y ves la charla, no dudes en contar todos los detalles.
Saludos Malignos!
4 comentarios:
Joder! que hacer para estar seguro? ataques MIM, MIB, robo de sesiones, SSL puteado,...
En serio poco a poco en lugar de creer que las nuevas tecnologias son el futuro ya me estoy planteando dejarlas un poco de lado, usandolas solo para los hobbies y porno.
Banca electrónica, paypal, ... ni de coña.
http://security.stackexchange.com/questions/19911/crime-how-to-beat-the-beast-successor/19914#19914
Voy a estar por ahi.. definitivamente voy a mandar los detalles!
esto tiene mucho potencial..
este ano voy a tomar recado de filmar la charla, mando link apenas lo tenga :D
saludos desde uruguay!
Por lo visto por ahí y por aquí, si al entrar por primera vez al "banco", el servidor emite una sola cookie, y controla un solo acceso de sesion con esa cookie, de forma que al cargar otra url tuviera que generar, en java por ejemplo, otro objeto cliente con otro id, bastaría con controlar que nunca existierán dos objetos cliente a la vez. Perdón por la ingenuidad...
Publicar un comentario