SlideShare ist ein Scribd-Unternehmen logo

Explotando Add-Ons de Mozilla Firefox

Jose Moruno Cadima
Jose Moruno Cadima

Explotando Add-Ons de Mozilla Firefox by @SixP4ck3r presentacion realizada en el Hackmeeting Bolivia - 2013 realizado en la ciudad de Santa Cruz los dias 10 y 11 de Agosto ... http://www.sniferl4bs.com

Technologie
1 von 22
Downloaden Sie, um offline zu lesen
Explotando Add-On's de Mozilla Firefox Richard Villca Apaza SixP4ck3r Hackmeeting 2013 Santa Cruz - Bolivia
Acerca de miAcerca de mi ● Estudiante de 2do. año de sistemas. ● Amante de la tecnología y el Software Libre. ● Programador... me encanta programar en el viejo C, Java, PHP, node.js, .NET y Python. ● Uno poco mas de 5 años en el mundo del Hacking ● Escritor de pappers. ● Me encanta compartir conocimientos. ● Un autodidacta mas en la red!
Lo que veremos...Lo que veremos... ● Intro ● Complementos, Ad-Ons, Plugins ... ● Seguridad en los Complementos de Mozilla Firefox ● Debilidades... y explotando... ● Demos (Keylogger, MiTM-GET-POST,remoteExec, Botnet) ● Add-OnFirefox + Beef = Botnet ● Entonces como puedo protegerme! ● Conclusión
IntroduccíonIntroduccíon ● Mozilla Firefox es el tercer navegador mas usado!
¿Complementos ó Plugins?¿Complementos ó Plugins? Los plug-in's son pequeños programas auxiliares o dispositivos de hardware que permiten a sistemas mayores extender sus capacidades normales o aportar una función, generalmente muy específica. Gracias a sus miles de add-ons hacen a Mozilla Firefox un navegador potente.
Todos usamos pluginsTodos usamos plugins ● Plataformas Web, CMS's ● Joomla, WordPress, Drupal, SMF y otros ● Plugins, Complementos ● Y otros... ● Aplicaciones de Escritorio ● Plugins para Photoshop ● Complementos para MS-Power Point ● Y muchos mas. ●
Complementos en FirefoxComplementos en Firefox
Complementos en FirefoxComplementos en Firefox
Esctructura de un Add-OnEsctructura de un Add-On Soporta: ● JavaScript ● HTML5 ● Ajax ● XUL -> GUI ● XML ● Y una variedad mas.
Esctructura de un Add-OnEsctructura de un Add-On ● chrome.manifest: Encargado de manejar la ubicacion de los ficheros del componente. ● install.rdf: Encargado de gestionar los nombres del desarollador, nombre del Add-On, Descripción, Version. ● Overlay.js: Los scripts que hacen posible el funcionamiento de un Add-On. ● Overlay.xul: GUI -> Encargado de manejar toda la interfaz grafica del Add-On.
Seguridad en los Add-On'sSeguridad en los Add-On's ● No hay mecanismos para restringir los privilegios de un Add-On. ● Los codigos de un Add-On no son verificados. ● Ninguna restricción para comunicarse desde un Add-On hacia Internet. ● XPConnect con privilegios, haces todo lo que quieres. ● Cuestion de creatividad e imaginación.
Pensando como atacante!Pensando como atacante! ● Leer ficheros del S.O. ● Keylogger Local, Remoto y robo de Cookies. ● MiTM control sobre el trafico POST y GET ● Reddireccion a otros sitos, control total sobre el contenido de una web. ● Distributed Denial of Service Attack (DDoS) ● Creando una BotNET con Beef ● En todos los S.O. Donde Mozilla Firefox este corriendo.
DEMO: Keylogger RemotoDEMO: Keylogger Remoto ● PHP ● Ajax ● Una Base de Datos ● Y a divertirse!
DEMO: MiTM Control POST GETDEMO: MiTM Control POST GET
DEMO: Ejecución de un *.EXEDEMO: Ejecución de un *.EXE
DEMO: Add-On + Beef = BotNETDEMO: Add-On + Beef = BotNET
Y que dicen los AV'sY que dicen los AV's
RecomendacionesRecomendaciones ● Jamas instales Add-Ons desde sitios dudosos. ● Cierra cualquier session que hayas iniciado, elimina tus cookies. ● Mirar en el panel de complementos de Firefox, que complementos tienes intalados, algun complemento desconocido dale en ELIMINAR. ● Mantener Firefox actualizado. ● Solo Instalar solo componentes que conoscais.
RecomendacionesRecomendaciones ● Usa Linux! ● Usa Lykan-OS
ConclusionesConclusiones ● A pesar de que Mozilla Firefox es un navegador potente igual tiene sus debilidades. ● Si alquien te instalo un Add-On y tu no sabes ni como funciona ni donde estan ubicados para poder desinstalarlo, tienes todas las de perder. ● Como el codigo no es examinado puede venir camuflado en un Add-On valido, por ejemplo dentro del Firebug. ● Que los Add-Ons para Mozilla Firefox pueden convertirse potencialmente en Malware.
Preguntas y DespedidaPreguntas y Despedida ● En la Informatíca y el AMOR nada es imposible! “Han podido acceder a nuestros servidores y han obtenido todas los datos.“ Los Administradores de DropBOX
ContactoContacto E-Mail -> SixP4ck3r AT Bolivia DOT com Blog -> http://sixp4ck3r.blogspot.com/ Twitter -> @SixP4ck3r

Empfohlen

Explotando Add-On's de Mozilla Firefox
Explotando Add-On's de Mozilla FirefoxExplotando Add-On's de Mozilla Firefox
Explotando Add-On's de Mozilla Firefox
Rithchard Javier
 
Programación web framework djando - noviembre de 2014
Programación web framework djando - noviembre de 2014Programación web framework djando - noviembre de 2014
Programación web framework djando - noviembre de 2014
SandraMartinezG
 
Cómo crear ports en FreeBSD #PicnicCode2015
Cómo crear ports en FreeBSD #PicnicCode2015Cómo crear ports en FreeBSD #PicnicCode2015
Cómo crear ports en FreeBSD #PicnicCode2015
OpenSistemas
 
Una breve resParte I. Desarrollo de VideoJuego: MonoGame en Windows 8.
Una breve resParte I. Desarrollo de VideoJuego: MonoGame en Windows 8.Una breve resParte I. Desarrollo de VideoJuego: MonoGame en Windows 8.
Una breve resParte I. Desarrollo de VideoJuego: MonoGame en Windows 8.
Juan Manuel
 
Instalar tor
Instalar torInstalar tor
Instalar tor
Daniel Servando Ortega
 
Webinar Gratuito "Samurai Web Testing Framework 2.0"
Webinar Gratuito "Samurai Web Testing Framework 2.0"Webinar Gratuito "Samurai Web Testing Framework 2.0"
Webinar Gratuito "Samurai Web Testing Framework 2.0"
Alonso Caballero
 
Felix alfred tare1_uiii_so
Felix alfred tare1_uiii_soFelix alfred tare1_uiii_so
Felix alfred tare1_uiii_so
hellen obispo quiroz
 
97132962-instalacion-de-open meetings-en-squeeze
97132962-instalacion-de-open meetings-en-squeeze 97132962-instalacion-de-open meetings-en-squeeze
97132962-instalacion-de-open meetings-en-squeeze
xavazquez
 

Empfohlen

Explotando Add-On's de Mozilla Firefox
Explotando Add-On's de Mozilla FirefoxExplotando Add-On's de Mozilla Firefox
Explotando Add-On's de Mozilla Firefox
Rithchard Javier
 
Programación web framework djando - noviembre de 2014
Programación web framework djando - noviembre de 2014Programación web framework djando - noviembre de 2014
Programación web framework djando - noviembre de 2014
SandraMartinezG
 
Cómo crear ports en FreeBSD #PicnicCode2015
Cómo crear ports en FreeBSD #PicnicCode2015Cómo crear ports en FreeBSD #PicnicCode2015
Cómo crear ports en FreeBSD #PicnicCode2015
OpenSistemas
 
Una breve resParte I. Desarrollo de VideoJuego: MonoGame en Windows 8.
Una breve resParte I. Desarrollo de VideoJuego: MonoGame en Windows 8.Una breve resParte I. Desarrollo de VideoJuego: MonoGame en Windows 8.
Una breve resParte I. Desarrollo de VideoJuego: MonoGame en Windows 8.
Juan Manuel
 
Instalar tor
Instalar torInstalar tor
Instalar tor
Daniel Servando Ortega
 
Webinar Gratuito "Samurai Web Testing Framework 2.0"
Webinar Gratuito "Samurai Web Testing Framework 2.0"Webinar Gratuito "Samurai Web Testing Framework 2.0"
Webinar Gratuito "Samurai Web Testing Framework 2.0"
Alonso Caballero
 
Felix alfred tare1_uiii_so
Felix alfred tare1_uiii_soFelix alfred tare1_uiii_so
Felix alfred tare1_uiii_so
hellen obispo quiroz
 
97132962-instalacion-de-open meetings-en-squeeze
97132962-instalacion-de-open meetings-en-squeeze 97132962-instalacion-de-open meetings-en-squeeze
97132962-instalacion-de-open meetings-en-squeeze
xavazquez
 
Client side attacks
Client side attacksClient side attacks
Client side attacks
Boris Murillo
 
Enter Sandbox: Android Sandbox Comparison
Enter Sandbox: Android Sandbox ComparisonEnter Sandbox: Android Sandbox Comparison
Enter Sandbox: Android Sandbox Comparison
Jose Moruno Cadima
 
Troopers14 Advanced Smartphone forensics - Vladimir Katalov
Troopers14 Advanced Smartphone forensics - Vladimir KatalovTroopers14 Advanced Smartphone forensics - Vladimir Katalov
Troopers14 Advanced Smartphone forensics - Vladimir Katalov
Jose Moruno Cadima
 
Bash Cheat Sheet - SniferL4bs
Bash Cheat Sheet - SniferL4bsBash Cheat Sheet - SniferL4bs
Bash Cheat Sheet - SniferL4bs
Jose Moruno Cadima
 
Análisis de Metadatos con la Foca
Análisis de Metadatos con la FocaAnálisis de Metadatos con la Foca
Análisis de Metadatos con la Foca
Jose Moruno Cadima
 
Kali tools list with short description
Kali tools list with short descriptionKali tools list with short description
Kali tools list with short description
Jose Moruno Cadima
 
The Browser Explotations
The Browser ExplotationsThe Browser Explotations
The Browser Explotations
Rithchard Javier
 
Pucela testingdays testing_en_php
Pucela testingdays testing_en_phpPucela testingdays testing_en_php
Pucela testingdays testing_en_php
Isidro Merayo Castellano
 
Programación web framework django - noviembre de 2014
Programación web framework django - noviembre de 2014Programación web framework django - noviembre de 2014
Programación web framework django - noviembre de 2014
Eduardo Ernesto Lechuga
 
Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5
navajanegra
 
Buildout: Crear y desplegar entornos reproducibles en Python
Buildout: Crear y desplegar entornos reproducibles en PythonBuildout: Crear y desplegar entornos reproducibles en Python
Buildout: Crear y desplegar entornos reproducibles en Python
CodeSyntax
 
Web App Hacking and Penetration Testing - (RFI - LFI & RCE)
Web App Hacking and Penetration Testing - (RFI - LFI & RCE) Web App Hacking and Penetration Testing - (RFI - LFI & RCE)
Web App Hacking and Penetration Testing - (RFI - LFI & RCE)
Jose Gonzales
 
Ruiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdf
Ruiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdfRuiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdf
Ruiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdf
MaximilianoMuratorio1
 
Iniciacion a-python-3-freelibros.com
Iniciacion a-python-3-freelibros.comIniciacion a-python-3-freelibros.com
Iniciacion a-python-3-freelibros.com
MarcosHuenchullanSot
 
Skipfish
Skipfish Skipfish
Skipfish
Mauro Parra-Miranda
 
Jenkins, no me rompas los builds!
Jenkins, no me rompas los builds!Jenkins, no me rompas los builds!
Jenkins, no me rompas los builds!
Gonzalo Sainz Trápaga
 
Programador Jr. para Python Primera Parte
Programador Jr. para Python Primera ParteProgramador Jr. para Python Primera Parte
Programador Jr. para Python Primera Parte
José Luis Chiquete Valdivieso
 
Python
PythonPython
Python
Bryan Quezada
 
FirebugNext ¿Qué se viene en la nueva versión de Firebug?
FirebugNext ¿Qué se viene en la nueva versión de Firebug?FirebugNext ¿Qué se viene en la nueva versión de Firebug?
FirebugNext ¿Qué se viene en la nueva versión de Firebug?
hidekel
 
Hacking Etico by pseudor00t
Hacking Etico by pseudor00tHacking Etico by pseudor00t
Hacking Etico by pseudor00t
pseudor00t overflow
 
Modulo 5
Modulo 5Modulo 5
Modulo 5
Cesar Zarate
 
Como se instala java y turbo c 3.0
Como se instala java y turbo c 3.0Como se instala java y turbo c 3.0
Como se instala java y turbo c 3.0
tacubomx
 

Weitere ähnliche Inhalte

Andere mochten auch

Andere mochten auch (6)

Client side attacks
Client side attacksClient side attacks
Client side attacks
 
Enter Sandbox: Android Sandbox Comparison
Enter Sandbox: Android Sandbox ComparisonEnter Sandbox: Android Sandbox Comparison
Enter Sandbox: Android Sandbox Comparison
 
Troopers14 Advanced Smartphone forensics - Vladimir Katalov
Troopers14 Advanced Smartphone forensics - Vladimir KatalovTroopers14 Advanced Smartphone forensics - Vladimir Katalov
Troopers14 Advanced Smartphone forensics - Vladimir Katalov
 
Bash Cheat Sheet - SniferL4bs
Bash Cheat Sheet - SniferL4bsBash Cheat Sheet - SniferL4bs
Bash Cheat Sheet - SniferL4bs
 
Análisis de Metadatos con la Foca
Análisis de Metadatos con la FocaAnálisis de Metadatos con la Foca
Análisis de Metadatos con la Foca
 
Kali tools list with short description
Kali tools list with short descriptionKali tools list with short description
Kali tools list with short description
 

Ähnlich wie Explotando Add-Ons de Mozilla Firefox

Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5
navajanegra
 
Ruiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdf
Ruiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdfRuiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdf
Ruiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdf
MaximilianoMuratorio1
 
Como se instala java y turbo c 3.0
Como se instala java y turbo c 3.0Como se instala java y turbo c 3.0
Como se instala java y turbo c 3.0
tacubomx
 
Manual de hacking basico por taskkill#3
Manual de hacking basico por taskkill#3Manual de hacking basico por taskkill#3
Manual de hacking basico por taskkill#3
Brat Stell
 

Ähnlich wie Explotando Add-Ons de Mozilla Firefox (20)

The Browser Explotations
The Browser ExplotationsThe Browser Explotations
The Browser Explotations
 
Pucela testingdays testing_en_php
Pucela testingdays testing_en_phpPucela testingdays testing_en_php
Pucela testingdays testing_en_php
 
Programación web framework django - noviembre de 2014
Programación web framework django - noviembre de 2014Programación web framework django - noviembre de 2014
Programación web framework django - noviembre de 2014
 
Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5
 
Buildout: Crear y desplegar entornos reproducibles en Python
Buildout: Crear y desplegar entornos reproducibles en PythonBuildout: Crear y desplegar entornos reproducibles en Python
Buildout: Crear y desplegar entornos reproducibles en Python
 
Web App Hacking and Penetration Testing - (RFI - LFI & RCE)
Web App Hacking and Penetration Testing - (RFI - LFI & RCE) Web App Hacking and Penetration Testing - (RFI - LFI & RCE)
Web App Hacking and Penetration Testing - (RFI - LFI & RCE)
 
Ruiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdf
Ruiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdfRuiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdf
Ruiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdf
 
Iniciacion a-python-3-freelibros.com
Iniciacion a-python-3-freelibros.comIniciacion a-python-3-freelibros.com
Iniciacion a-python-3-freelibros.com
 
Skipfish
Skipfish Skipfish
Skipfish
 
Jenkins, no me rompas los builds!
Jenkins, no me rompas los builds!Jenkins, no me rompas los builds!
Jenkins, no me rompas los builds!
 
Programador Jr. para Python Primera Parte
Programador Jr. para Python Primera ParteProgramador Jr. para Python Primera Parte
Programador Jr. para Python Primera Parte
 
Python
PythonPython
Python
 
FirebugNext ¿Qué se viene en la nueva versión de Firebug?
FirebugNext ¿Qué se viene en la nueva versión de Firebug?FirebugNext ¿Qué se viene en la nueva versión de Firebug?
FirebugNext ¿Qué se viene en la nueva versión de Firebug?
 
Hacking Etico by pseudor00t
Hacking Etico by pseudor00tHacking Etico by pseudor00t
Hacking Etico by pseudor00t
 
Modulo 5
Modulo 5Modulo 5
Modulo 5
 
Como se instala java y turbo c 3.0
Como se instala java y turbo c 3.0Como se instala java y turbo c 3.0
Como se instala java y turbo c 3.0
 
Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13
Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13
Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13
 
Como instalar Prolog en Windows
Como instalar Prolog en WindowsComo instalar Prolog en Windows
Como instalar Prolog en Windows
 
Manual de hacking basico por taskkill#3
Manual de hacking basico por taskkill#3Manual de hacking basico por taskkill#3
Manual de hacking basico por taskkill#3
 
4 Programas Sin costo Para Supervisar Tu Conexión A Internet
4 Programas Sin costo Para Supervisar Tu Conexión A Internet4 Programas Sin costo Para Supervisar Tu Conexión A Internet
4 Programas Sin costo Para Supervisar Tu Conexión A Internet
 

Kürzlich hochgeladen

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 

Kürzlich hochgeladen (10)

Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 

Explotando Add-Ons de Mozilla Firefox

  • 1. Explotando Add-On's de Mozilla Firefox Richard Villca Apaza SixP4ck3r Hackmeeting 2013 Santa Cruz - Bolivia
  • 2. Acerca de miAcerca de mi ● Estudiante de 2do. año de sistemas. ● Amante de la tecnología y el Software Libre. ● Programador... me encanta programar en el viejo C, Java, PHP, node.js, .NET y Python. ● Uno poco mas de 5 años en el mundo del Hacking ● Escritor de pappers. ● Me encanta compartir conocimientos. ● Un autodidacta mas en la red!
  • 3. Lo que veremos...Lo que veremos... ● Intro ● Complementos, Ad-Ons, Plugins ... ● Seguridad en los Complementos de Mozilla Firefox ● Debilidades... y explotando... ● Demos (Keylogger, MiTM-GET-POST,remoteExec, Botnet) ● Add-OnFirefox + Beef = Botnet ● Entonces como puedo protegerme! ● Conclusión
  • 4. IntroduccíonIntroduccíon ● Mozilla Firefox es el tercer navegador mas usado!
  • 5. ¿Complementos ó Plugins?¿Complementos ó Plugins? Los plug-in's son pequeños programas auxiliares o dispositivos de hardware que permiten a sistemas mayores extender sus capacidades normales o aportar una función, generalmente muy específica. Gracias a sus miles de add-ons hacen a Mozilla Firefox un navegador potente.
  • 6. Todos usamos pluginsTodos usamos plugins ● Plataformas Web, CMS's ● Joomla, WordPress, Drupal, SMF y otros ● Plugins, Complementos ● Y otros... ● Aplicaciones de Escritorio ● Plugins para Photoshop ● Complementos para MS-Power Point ● Y muchos mas. ●
  • 9. Esctructura de un Add-OnEsctructura de un Add-On Soporta: ● JavaScript ● HTML5 ● Ajax ● XUL -> GUI ● XML ● Y una variedad mas.
  • 10. Esctructura de un Add-OnEsctructura de un Add-On ● chrome.manifest: Encargado de manejar la ubicacion de los ficheros del componente. ● install.rdf: Encargado de gestionar los nombres del desarollador, nombre del Add-On, Descripción, Version. ● Overlay.js: Los scripts que hacen posible el funcionamiento de un Add-On. ● Overlay.xul: GUI -> Encargado de manejar toda la interfaz grafica del Add-On.
  • 11. Seguridad en los Add-On'sSeguridad en los Add-On's ● No hay mecanismos para restringir los privilegios de un Add-On. ● Los codigos de un Add-On no son verificados. ● Ninguna restricción para comunicarse desde un Add-On hacia Internet. ● XPConnect con privilegios, haces todo lo que quieres. ● Cuestion de creatividad e imaginación.
  • 12. Pensando como atacante!Pensando como atacante! ● Leer ficheros del S.O. ● Keylogger Local, Remoto y robo de Cookies. ● MiTM control sobre el trafico POST y GET ● Reddireccion a otros sitos, control total sobre el contenido de una web. ● Distributed Denial of Service Attack (DDoS) ● Creando una BotNET con Beef ● En todos los S.O. Donde Mozilla Firefox este corriendo.
  • 13. DEMO: Keylogger RemotoDEMO: Keylogger Remoto ● PHP ● Ajax ● Una Base de Datos ● Y a divertirse!
  • 14. DEMO: MiTM Control POST GETDEMO: MiTM Control POST GET
  • 15. DEMO: Ejecución de un *.EXEDEMO: Ejecución de un *.EXE
  • 16. DEMO: Add-On + Beef = BotNETDEMO: Add-On + Beef = BotNET
  • 17. Y que dicen los AV'sY que dicen los AV's
  • 18. RecomendacionesRecomendaciones ● Jamas instales Add-Ons desde sitios dudosos. ● Cierra cualquier session que hayas iniciado, elimina tus cookies. ● Mirar en el panel de complementos de Firefox, que complementos tienes intalados, algun complemento desconocido dale en ELIMINAR. ● Mantener Firefox actualizado. ● Solo Instalar solo componentes que conoscais.
  • 20. ConclusionesConclusiones ● A pesar de que Mozilla Firefox es un navegador potente igual tiene sus debilidades. ● Si alquien te instalo un Add-On y tu no sabes ni como funciona ni donde estan ubicados para poder desinstalarlo, tienes todas las de perder. ● Como el codigo no es examinado puede venir camuflado en un Add-On valido, por ejemplo dentro del Firebug. ● Que los Add-Ons para Mozilla Firefox pueden convertirse potencialmente en Malware.
  • 21. Preguntas y DespedidaPreguntas y Despedida ● En la Informatíca y el AMOR nada es imposible! “Han podido acceder a nuestros servidores y han obtenido todas los datos.“ Los Administradores de DropBOX
  • 22. ContactoContacto E-Mail -> SixP4ck3r AT Bolivia DOT com Blog -> http://sixp4ck3r.blogspot.com/ Twitter -> @SixP4ck3r