En junio de 2006 asistí al primer encuentro del recién fundado capítulo español de OWASP (Open Web Application Security Project) que se celebró en el CESCA (Centre de Supercomputació de Catalunya). Vicente Aguilera (@VAguileraDiaz), su fundador, nos presentó aquel proyecto que nacía con la filosofía de "todo abierto y gratuito" con el objetivo de asegurar e incrementar el nivel de seguridad de las aplicaciones web.
Por diversos motivos (de agenda, principalmente) después de ese primer encuentro en 2006 no había podido volver a asistir a ninguna jornada de OWASP, hasta hoy. El pasado viernes 13 de junio se celebró el VIII OWASP Spain Chapter Meeting (#OWASPSpain8) en el Auditorio del Campus La Salle en Barcelona.
En primer lugar Josep Mª Ribas, director de la Escuela de Ingeniería La Salle Campus Barcelona nos dio la bienvenida a sus instalaciones y aprovechó para anunciar que el próximo curso volverán a poner en marcha el Master en Ciberseguridad. A continuación, Vicente Aguilera, presidente de OWASP Spain y socio de Internet Security Auditors realizó la presentación de la jornada que, de 10 de la mañana a 6 de la tarde acogió un total de ocho presentaciones.
** (01) - ON BREAKING PHP-based CROSS SITE SCRIPTING PROTECTION **
Ashar Javed (@soaj1664ashar), investigador alemán que está realizando su tesis sobre XSS, ofreció una clase magistral sobre metodologías de ataque para lo que el llama "contextos" en XSS. Se trata de buscar la manera de introducir, dentro del código de una página web, una cadena de texto tecleada por el usuario. Para ello determina 5 "contextos": HTML, Atributos, Script, URL y Estilos, para cada uno de los cuales mostró tanto ejemplos de vulnerabilidades como soluciones a los desarrolladores para evitar esas inyecciones.
Durante la charla planteó un reto, ofreciendo 250$ a quien fuera capaz de saltarse el filtro XSS que ha implementado en http://demo.chm-software.com/7fc785c6bd26b49d7a7698a7518a73ed/
(A día de hoy, tras más de 37.000 intentos, parece qie nadie lo ha conseguido y ha aumentado la recompensa a 550$).
** (02) - REVERSING AND PROTECTING ANDROID APPLICATIONS **
Pau Oliva (@pof), co-autor de "Android Hacker's Handbook" ofreció una interesante charla sobre reversing en Android, comentando diversas herramientas. Planteó 3 escenarios para "reversear" [sic] los ficheros APK de Android:
- Pasar de DEX (bytecode) a Smali, desensamblando, por ejemplo con ApkTool,
- Pasar de DEX a JAR y luego utilizar cualquier compilador de Java (por ejemplo Procyon),
- Utilizar un decompilador de Dalvik puro y pasar directamente de DEX a Java (p.ej: DAD, Jadx).
Acabó la charla con algunos consejos sobre como securizar una aplicación y sobre la aplicación de técnicas de ofuscación con herramientas como Proguard.