Your SlideShare is downloading. ×
0
Milano, 16 Marzo 2010
Introduzione al tema delle minacce di
Phishing 3.0
attraverso tecniche di
Cross Application Scriptin...
Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting
Milano, 16 Marzo 201...
Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting
Milano, 16 Marzo 201...
Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting
Milano, 16 Marzo 201...
Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting
Milano, 16 Marzo 201...
Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting
Milano, 16 Marzo 201...
Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting
Milano, 16 Marzo 201...
Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting
Milano, 16 Marzo 201...
Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting
Milano, 16 Marzo 201...
Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting
Milano, 16 Marzo 201...
Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting
Milano, 16 Marzo 201...
Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting
Milano, 16 Marzo 201...
Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting
Milano, 16 Marzo 201...
Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting
Milano, 16 Marzo 201...
Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting
Milano, 16 Marzo 201...
Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting
Milano, 16 Marzo 201...
Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting
Milano, 16 Marzo 201...
Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting
Milano, 16 Marzo 201...
Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting
Milano, 16 Marzo 201...
Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting
Milano, 16 Marzo 201...
Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting
Milano, 16 Marzo 201...
Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting
Milano, 16 Marzo 201...
Upcoming SlideShare
Loading in...5
×

Cross Application Scripting at Security Summit 16/03/2010

643

Published on

Cross Application Scripting 0day hacking technique publi disclosure.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
643
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
14
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Cross Application Scripting at Security Summit 16/03/2010"

  1. 1. Milano, 16 Marzo 2010 Introduzione al tema delle minacce di Phishing 3.0 attraverso tecniche di Cross Application Scripting Relatori: Emanuele Gentili Alessandro Scoscia Emanuele Acri martedì 16 marzo 2010
  2. 2. Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting Milano, 16 Marzo 2010Emanuele Gentili,Alessandro Scoscia, Emanuele Acri PHISHING: l’ eterna lotta tra Sviluppatori Software e Natura Umana martedì 16 marzo 2010
  3. 3. Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting Milano, 16 Marzo 2010Emanuele Gentili,Alessandro Scoscia, Emanuele Acri Tipologie di attacco Phishing ✓ PHISHING 1.0 A. E-MAIL B. XSS on site C. Website Clone ✓ PHISHING 2.0 DNS CACHE POISONING ➡ PHISHING 3.0 martedì 16 marzo 2010
  4. 4. Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting Milano, 16 Marzo 2010Emanuele Gentili,Alessandro Scoscia, Emanuele Acri Da XSS a CAS Il Cross-site scripting (XSS) è una vulnerabilità che affligge siti web dinamici che impiegano un insufficiente controllo dell'input. Un XSS permette ad un attaccante di inserire codice al fine di modificare il contenuto della pagina web visitata. In questo modo si potranno sottrarre dati sensibili presenti nel browser degli utenti che visiteranno successivamente quella pagina. Gli attacchi alle vulnerabilità XSS hanno effetti dirompenti per i siti con un elevato numero di utenti, dato che è sufficiente una sola compromissione per colpire chiunque visiti la stessa pagina. Il Cross-Application scripting (CAS) è una vulnerabilità che affligge applicazioni desktop che impiegano un insufficiente controllo dell'input. Un CAS permette ad un attaccante di inserire codice al fine di modificare il contenuto di una applicazione desktop utilizzata. In questo modo si potranno sottrarre dati sensibili presenti nel sistema degli utenti. Gli attacchi alle vulnerabilità CAS hanno effetti dirompenti perche’ possono implicare la completa compromissione dei target indipendentemente da sistemi operativi e piattaforme. martedì 16 marzo 2010
  5. 5. Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting Milano, 16 Marzo 2010Emanuele Gentili,Alessandro Scoscia, Emanuele Acri Differenze sostanziali XSS CASXSS CASXSS CAS attacco ad applicazioni web si no attacco a applicazioni no si Sistemi Operativi no si Remote Command Execution no si martedì 16 marzo 2010
  6. 6. Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting Milano, 16 Marzo 2010Emanuele Gentili,Alessandro Scoscia, Emanuele Acri Tecnologie analizzate Frameworks grafici ๏ GTK ๏ QT Desktop Environment ๏ MICROSOFT WINDOWS ๏ Apple OS X ๏ KDE (KIO) ๏ GNOME martedì 16 marzo 2010
  7. 7. Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting Milano, 16 Marzo 2010Emanuele Gentili,Alessandro Scoscia, Emanuele Acri Architetture e Sistemi analizzati - Microsoft Windows martedì 16 marzo 2010
  8. 8. Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting Milano, 16 Marzo 2010Emanuele Gentili,Alessandro Scoscia, Emanuele Acri Architetture e Sistemi analizzati - Apple OS X martedì 16 marzo 2010
  9. 9. Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting Milano, 16 Marzo 2010Emanuele Gentili,Alessandro Scoscia, Emanuele Acri Architetture e Sistemi analizzati - KDE martedì 16 marzo 2010
  10. 10. Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting Milano, 16 Marzo 2010Emanuele Gentili,Alessandro Scoscia, Emanuele Acri Responsible Disclosure martedì 16 marzo 2010
  11. 11. Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting Milano, 16 Marzo 2010Emanuele Gentili,Alessandro Scoscia, Emanuele Acri Vettori potenziali di attacco martedì 16 marzo 2010
  12. 12. Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting Milano, 16 Marzo 2010Emanuele Gentili,Alessandro Scoscia, Emanuele Acri Metodi Anti Phishing per attacchi CAS martedì 16 marzo 2010
  13. 13. Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting Milano, 16 Marzo 2010Emanuele Gentili,Alessandro Scoscia, Emanuele Acri Previsione di impatto in prima indagine 0 25 50 75 100 Criticità in Ambiente Core Applicazioni aggiuntive Microsoft Windows KDE OS X Symbian martedì 16 marzo 2010
  14. 14. Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting Milano, 16 Marzo 2010Emanuele Gentili,Alessandro Scoscia, Emanuele Acri Pericolosità in attacchi COMBO Cross Application Scripting Modifica interfaccia applicativa Esecuzione Comandi Redirezione utenti a sito web malevolo da applicazione con alterazione GUI. Possibilità di far eseguire alla vittima comandi nel sistema utilizzato Attacchi dipendenti ESCLUSIVAMENTE dalle applicazioni martedì 16 marzo 2010
  15. 15. Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting Milano, 16 Marzo 2010Emanuele Gentili,Alessandro Scoscia, Emanuele Acri Pillole Tecniche: SKYPE http://www.exploit-db.com/exploits/10980 # Title: Skype for Linux (<=2.1 Beta) multiple strange behavior # Author: Emanuele Gentili (Emgent), Emanuele Acri (Crossbower) # Contacts: emgent@backtrack.it, crossbower@backtrack.it # Published: 2010-01-04 # Software Link: http://www.skype.com/intl/it/download/skype/linux/ # Version: <=2.1 Beta (the latest version) # Tested on: Ubuntu 8.10, Debian 6.0 Testing # Special greetz: Backtrack-Italy Community - Phishing proof of concept: If you type this string in your profile (Homepage field), 'www.google.com' will be displayed, but the link points to -> http://backtrack.it: backtrack.it">www.google.it<script> martedì 16 marzo 2010
  16. 16. Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting Milano, 16 Marzo 2010Emanuele Gentili,Alessandro Scoscia, Emanuele Acri Pillole Tecniche: Google Earth (I) martedì 16 marzo 2010
  17. 17. Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting Milano, 16 Marzo 2010Emanuele Gentili,Alessandro Scoscia, Emanuele Acri Pillole Tecniche: Google Earth (II) martedì 16 marzo 2010
  18. 18. Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting Milano, 16 Marzo 2010Emanuele Gentili,Alessandro Scoscia, Emanuele Acri Pillole Tecniche: Akregator apt:antivir-pro'. </b> <span /> ... <span /> <span /> <span /> <span /> <span /> <span /> <span /> <span /> This can be a potential security weakness. The program will now install the missing packages. Please wait for the installation of <b>'antivir pro,netcat martedì 16 marzo 2010
  19. 19. Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting Milano, 16 Marzo 2010Emanuele Gentili,Alessandro Scoscia, Emanuele Acri KDE OWNAGE VIA CROSS APPLICATION SCRIPTING http://www.backtrack.it/~emgent/videos/16032010_-_SecuritySummit_CAS_OWNING_KDE.mov martedì 16 marzo 2010
  20. 20. Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting Milano, 16 Marzo 2010Emanuele Gentili,Alessandro Scoscia, Emanuele Acri Nuove Frontiere (I) QT Script Module martedì 16 marzo 2010
  21. 21. Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting Milano, 16 Marzo 2010Emanuele Gentili,Alessandro Scoscia, Emanuele Acri Nuove Frontiere (II) Applicativi Mobile martedì 16 marzo 2010
  22. 22. Introduzione al tema delle minacce di phishing 3.0 attraverso tecniche di Cross Application Scripting Milano, 16 Marzo 2010Emanuele Gentili,Alessandro Scoscia, Emanuele Acri Ringraziamenti Marco Rondini Simone Quatrini Mauro Gasperini Francesco Morucci Associazione Informatici Professionisti CLUSIT martedì 16 marzo 2010
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×