ivan arce ariel futoransky ariel waissbein

of 30 /30
Ivan Arce Ariel Futoransky Ariel Waissbein www.coresecurity.com

Author: others

Post on 12-Nov-2021

1 views

Category:

Documents


0 download

Embed Size (px)

TRANSCRIPT

WebAppSec using Dynamic Taint-AnalysisCual es la dificultad?
Numero de Id. select titulo from libros where id = ;123
DBselect titulo from libros where id = ;123 or 1=1
DB select titulo from libros where id =
;123 or 1=1
html
Blanco: Interoperatividad
entre lenguajes
Mails entrantes
De acuerdo a nuestra caracterización
Detectar 0-day
Alta precisión
Multi-level security
especificas de seguridad
caracter
e r e u i d = j o h n ;
H H H H H H H H D D D D
… Original string information
Extended security mark
marcas.
Antés de acceder a la base de datos, grasp analiza la
estructura del query utilizando las marcas para
reconocer patrones de ataque
HHHHHHHHHHHHHHHHH DDDDDDDDDDDDDDDDD + +
HHHHHHHHHHHHHHHHHHHHHHHDDDDDDDDDDDDDDDD
Distribuido como patch para el fuente o
instalador para windows
bajo licencia Apache2.0