Bughunting: explotando vulnerabilidades en aplicaciones web

Resumen

¿Son realmente tan graves las vulnerabilidades de SQL Injection y Cross Site Scripting? ¿Cómo se descubren? ¿Cómo se explotan? En esta charla vamos a intentar responder estas preguntas y mostrar ejemplos prácticos de vulnerabilidades reales.
Como cierre, basándonos en casos concretos de este año, vamos a ahondar en cómo manejamos en la empresa el proceso de búsqueda / explotación / reporte de vulnerabilidades, y cuáles son las responsabilidades de los investigadores en seguridad informática y de los productores de software en este complejo proceso.

Oradores

• Pedro Varangot: es investigador de Core Security Technologies y estudiante de Licenciatura en Ciencias de la Computación en la Facultad de Ciencias Exactas y Naturales de la UBA. Además se desempeña como ayudante docente en esta misma carrera desde hace 3 años.
• Carlos Sarraute: estudió Matemáticas en la Universidad de Buenos Aires, y está realizando el Doctorado en Ingeniería Informática en el ITBA. Trabaja desde el año 2000 en CoreLabs, el laboratorio de investigación de Core Security Technologies. Sus áreas de investigación son la búsqueda de vulnerabilidades de seguridad, planificación y modelado de ataques, visualización de eventos de seguridad, triggers seguros, fallas en el diseño de protocolos (autenticación de MySQL, análisis temporal de SSH) y el uso de redes neuronales para la detección de sistemas operativos. Ha dado charlas y cursos sobre seguridad informática y criptografía en varias universidades en Argentina, y presentado trabajos en conferencias internacionales: PacSec (Tokyo), EUSecWest (Londres), SSTIC (Francia), HITB (Kuala Lumpur).
• Federico Muttis
• Matías Blanco