SlideShare ist ein Scribd-Unternehmen logo

Explotando Add-Ons de Mozilla Firefox

Jose Moruno Cadima
Jose Moruno Cadima

Explotando Add-Ons de Mozilla Firefox by @SixP4ck3r presentacion realizada en el Hackmeeting Bolivia - 2013 realizado en la ciudad de Santa Cruz los dias 10 y 11 de Agosto ... http://www.sniferl4bs.com

Technologie
1 von 22
Downloaden Sie, um offline zu lesen
Explotando Add-On's de Mozilla Firefox Richard Villca Apaza SixP4ck3r Hackmeeting 2013 Santa Cruz - Bolivia
Acerca de miAcerca de mi ● Estudiante de 2do. año de sistemas. ● Amante de la tecnología y el Software Libre. ● Programador... me encanta programar en el viejo C, Java, PHP, node.js, .NET y Python. ● Uno poco mas de 5 años en el mundo del Hacking ● Escritor de pappers. ● Me encanta compartir conocimientos. ● Un autodidacta mas en la red!
Lo que veremos...Lo que veremos... ● Intro ● Complementos, Ad-Ons, Plugins ... ● Seguridad en los Complementos de Mozilla Firefox ● Debilidades... y explotando... ● Demos (Keylogger, MiTM-GET-POST,remoteExec, Botnet) ● Add-OnFirefox + Beef = Botnet ● Entonces como puedo protegerme! ● Conclusión
IntroduccíonIntroduccíon ● Mozilla Firefox es el tercer navegador mas usado!
¿Complementos ó Plugins?¿Complementos ó Plugins? Los plug-in's son pequeños programas auxiliares o dispositivos de hardware que permiten a sistemas mayores extender sus capacidades normales o aportar una función, generalmente muy específica. Gracias a sus miles de add-ons hacen a Mozilla Firefox un navegador potente.
Todos usamos pluginsTodos usamos plugins ● Plataformas Web, CMS's ● Joomla, WordPress, Drupal, SMF y otros ● Plugins, Complementos ● Y otros... ● Aplicaciones de Escritorio ● Plugins para Photoshop ● Complementos para MS-Power Point ● Y muchos mas. ●
Complementos en FirefoxComplementos en Firefox
Complementos en FirefoxComplementos en Firefox
Esctructura de un Add-OnEsctructura de un Add-On Soporta: ● JavaScript ● HTML5 ● Ajax ● XUL -> GUI ● XML ● Y una variedad mas.
Esctructura de un Add-OnEsctructura de un Add-On ● chrome.manifest: Encargado de manejar la ubicacion de los ficheros del componente. ● install.rdf: Encargado de gestionar los nombres del desarollador, nombre del Add-On, Descripción, Version. ● Overlay.js: Los scripts que hacen posible el funcionamiento de un Add-On. ● Overlay.xul: GUI -> Encargado de manejar toda la interfaz grafica del Add-On.
Seguridad en los Add-On'sSeguridad en los Add-On's ● No hay mecanismos para restringir los privilegios de un Add-On. ● Los codigos de un Add-On no son verificados. ● Ninguna restricción para comunicarse desde un Add-On hacia Internet. ● XPConnect con privilegios, haces todo lo que quieres. ● Cuestion de creatividad e imaginación.
Pensando como atacante!Pensando como atacante! ● Leer ficheros del S.O. ● Keylogger Local, Remoto y robo de Cookies. ● MiTM control sobre el trafico POST y GET ● Reddireccion a otros sitos, control total sobre el contenido de una web. ● Distributed Denial of Service Attack (DDoS) ● Creando una BotNET con Beef ● En todos los S.O. Donde Mozilla Firefox este corriendo.
DEMO: Keylogger RemotoDEMO: Keylogger Remoto ● PHP ● Ajax ● Una Base de Datos ● Y a divertirse!
DEMO: MiTM Control POST GETDEMO: MiTM Control POST GET
DEMO: Ejecución de un *.EXEDEMO: Ejecución de un *.EXE
DEMO: Add-On + Beef = BotNETDEMO: Add-On + Beef = BotNET
Y que dicen los AV'sY que dicen los AV's
RecomendacionesRecomendaciones ● Jamas instales Add-Ons desde sitios dudosos. ● Cierra cualquier session que hayas iniciado, elimina tus cookies. ● Mirar en el panel de complementos de Firefox, que complementos tienes intalados, algun complemento desconocido dale en ELIMINAR. ● Mantener Firefox actualizado. ● Solo Instalar solo componentes que conoscais.
RecomendacionesRecomendaciones ● Usa Linux! ● Usa Lykan-OS
ConclusionesConclusiones ● A pesar de que Mozilla Firefox es un navegador potente igual tiene sus debilidades. ● Si alquien te instalo un Add-On y tu no sabes ni como funciona ni donde estan ubicados para poder desinstalarlo, tienes todas las de perder. ● Como el codigo no es examinado puede venir camuflado en un Add-On valido, por ejemplo dentro del Firebug. ● Que los Add-Ons para Mozilla Firefox pueden convertirse potencialmente en Malware.
Preguntas y DespedidaPreguntas y Despedida ● En la Informatíca y el AMOR nada es imposible! “Han podido acceder a nuestros servidores y han obtenido todas los datos.“ Los Administradores de DropBOX
ContactoContacto E-Mail -> SixP4ck3r AT Bolivia DOT com Blog -> http://sixp4ck3r.blogspot.com/ Twitter -> @SixP4ck3r

Empfohlen

Explotando Add-On's de Mozilla Firefox
Explotando Add-On's de Mozilla FirefoxExplotando Add-On's de Mozilla Firefox
Explotando Add-On's de Mozilla Firefox
Rithchard Javier
 
Programación web framework djando - noviembre de 2014
Programación web framework djando - noviembre de 2014Programación web framework djando - noviembre de 2014
Programación web framework djando - noviembre de 2014
SandraMartinezG
 
Cómo crear ports en FreeBSD #PicnicCode2015
Cómo crear ports en FreeBSD #PicnicCode2015Cómo crear ports en FreeBSD #PicnicCode2015
Cómo crear ports en FreeBSD #PicnicCode2015
OpenSistemas
 
Una breve resParte I. Desarrollo de VideoJuego: MonoGame en Windows 8.
Una breve resParte I. Desarrollo de VideoJuego: MonoGame en Windows 8.Una breve resParte I. Desarrollo de VideoJuego: MonoGame en Windows 8.
Una breve resParte I. Desarrollo de VideoJuego: MonoGame en Windows 8.
Juan Manuel
 
Instalar tor
Instalar torInstalar tor
Instalar tor
Daniel Servando Ortega
 
Webinar Gratuito "Samurai Web Testing Framework 2.0"
Webinar Gratuito "Samurai Web Testing Framework 2.0"Webinar Gratuito "Samurai Web Testing Framework 2.0"
Webinar Gratuito "Samurai Web Testing Framework 2.0"
Alonso Caballero
 
Felix alfred tare1_uiii_so
Felix alfred tare1_uiii_soFelix alfred tare1_uiii_so
Felix alfred tare1_uiii_so
hellen obispo quiroz
 
97132962-instalacion-de-open meetings-en-squeeze
97132962-instalacion-de-open meetings-en-squeeze 97132962-instalacion-de-open meetings-en-squeeze
97132962-instalacion-de-open meetings-en-squeeze
xavazquez
 

Empfohlen

Explotando Add-On's de Mozilla Firefox
Explotando Add-On's de Mozilla FirefoxExplotando Add-On's de Mozilla Firefox
Explotando Add-On's de Mozilla Firefox
Rithchard Javier
 
Programación web framework djando - noviembre de 2014
Programación web framework djando - noviembre de 2014Programación web framework djando - noviembre de 2014
Programación web framework djando - noviembre de 2014
SandraMartinezG
 
Cómo crear ports en FreeBSD #PicnicCode2015
Cómo crear ports en FreeBSD #PicnicCode2015Cómo crear ports en FreeBSD #PicnicCode2015
Cómo crear ports en FreeBSD #PicnicCode2015
OpenSistemas
 
Una breve resParte I. Desarrollo de VideoJuego: MonoGame en Windows 8.
Una breve resParte I. Desarrollo de VideoJuego: MonoGame en Windows 8.Una breve resParte I. Desarrollo de VideoJuego: MonoGame en Windows 8.
Una breve resParte I. Desarrollo de VideoJuego: MonoGame en Windows 8.
Juan Manuel
 
Instalar tor
Instalar torInstalar tor
Instalar tor
Daniel Servando Ortega
 
Webinar Gratuito "Samurai Web Testing Framework 2.0"
Webinar Gratuito "Samurai Web Testing Framework 2.0"Webinar Gratuito "Samurai Web Testing Framework 2.0"
Webinar Gratuito "Samurai Web Testing Framework 2.0"
Alonso Caballero
 
Felix alfred tare1_uiii_so
Felix alfred tare1_uiii_soFelix alfred tare1_uiii_so
Felix alfred tare1_uiii_so
hellen obispo quiroz
 
97132962-instalacion-de-open meetings-en-squeeze
97132962-instalacion-de-open meetings-en-squeeze 97132962-instalacion-de-open meetings-en-squeeze
97132962-instalacion-de-open meetings-en-squeeze
xavazquez
 
Client side attacks
Client side attacksClient side attacks
Client side attacks
Boris Murillo
 
Enter Sandbox: Android Sandbox Comparison
Enter Sandbox: Android Sandbox ComparisonEnter Sandbox: Android Sandbox Comparison
Enter Sandbox: Android Sandbox Comparison
Jose Moruno Cadima
 
Troopers14 Advanced Smartphone forensics - Vladimir Katalov
Troopers14 Advanced Smartphone forensics - Vladimir KatalovTroopers14 Advanced Smartphone forensics - Vladimir Katalov
Troopers14 Advanced Smartphone forensics - Vladimir Katalov
Jose Moruno Cadima
 
Bash Cheat Sheet - SniferL4bs
Bash Cheat Sheet - SniferL4bsBash Cheat Sheet - SniferL4bs
Bash Cheat Sheet - SniferL4bs
Jose Moruno Cadima
 
Análisis de Metadatos con la Foca
Análisis de Metadatos con la FocaAnálisis de Metadatos con la Foca
Análisis de Metadatos con la Foca
Jose Moruno Cadima
 
Kali tools list with short description
Kali tools list with short descriptionKali tools list with short description
Kali tools list with short description
Jose Moruno Cadima
 
The Browser Explotations
The Browser ExplotationsThe Browser Explotations
The Browser Explotations
Rithchard Javier
 
Pucela testingdays testing_en_php
Pucela testingdays testing_en_phpPucela testingdays testing_en_php
Pucela testingdays testing_en_php
Isidro Merayo Castellano
 
Programación web framework django - noviembre de 2014
Programación web framework django - noviembre de 2014Programación web framework django - noviembre de 2014
Programación web framework django - noviembre de 2014
Eduardo Ernesto Lechuga
 
Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5
navajanegra
 
Buildout: Crear y desplegar entornos reproducibles en Python
Buildout: Crear y desplegar entornos reproducibles en PythonBuildout: Crear y desplegar entornos reproducibles en Python
Buildout: Crear y desplegar entornos reproducibles en Python
CodeSyntax
 
Web App Hacking and Penetration Testing - (RFI - LFI & RCE)
Web App Hacking and Penetration Testing - (RFI - LFI & RCE) Web App Hacking and Penetration Testing - (RFI - LFI & RCE)
Web App Hacking and Penetration Testing - (RFI - LFI & RCE)
Jose Gonzales
 
Iniciacion a-python-3-freelibros.com
Iniciacion a-python-3-freelibros.comIniciacion a-python-3-freelibros.com
Iniciacion a-python-3-freelibros.com
MarcosHuenchullanSot
 
Ruiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdf
Ruiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdfRuiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdf
Ruiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdf
MaximilianoMuratorio1
 
Skipfish
Skipfish Skipfish
Skipfish
Mauro Parra-Miranda
 
Jenkins, no me rompas los builds!
Jenkins, no me rompas los builds!Jenkins, no me rompas los builds!
Jenkins, no me rompas los builds!
Gonzalo Sainz Trápaga
 
Programador Jr. para Python Primera Parte
Programador Jr. para Python Primera ParteProgramador Jr. para Python Primera Parte
Programador Jr. para Python Primera Parte
José Luis Chiquete Valdivieso
 
Python
PythonPython
Python
Bryan Quezada
 
FirebugNext ¿Qué se viene en la nueva versión de Firebug?
FirebugNext ¿Qué se viene en la nueva versión de Firebug?FirebugNext ¿Qué se viene en la nueva versión de Firebug?
FirebugNext ¿Qué se viene en la nueva versión de Firebug?
hidekel
 
Hacking Etico by pseudor00t
Hacking Etico by pseudor00tHacking Etico by pseudor00t
Hacking Etico by pseudor00t
pseudor00t overflow
 
Modulo 5
Modulo 5Modulo 5
Modulo 5
Cesar Zarate
 
Como se instala java y turbo c 3.0
Como se instala java y turbo c 3.0Como se instala java y turbo c 3.0
Como se instala java y turbo c 3.0
tacubomx
 

Weitere ähnliche Inhalte

Andere mochten auch

Andere mochten auch (6)

Client side attacks
Client side attacksClient side attacks
Client side attacks
 
Enter Sandbox: Android Sandbox Comparison
Enter Sandbox: Android Sandbox ComparisonEnter Sandbox: Android Sandbox Comparison
Enter Sandbox: Android Sandbox Comparison
 
Troopers14 Advanced Smartphone forensics - Vladimir Katalov
Troopers14 Advanced Smartphone forensics - Vladimir KatalovTroopers14 Advanced Smartphone forensics - Vladimir Katalov
Troopers14 Advanced Smartphone forensics - Vladimir Katalov
 
Bash Cheat Sheet - SniferL4bs
Bash Cheat Sheet - SniferL4bsBash Cheat Sheet - SniferL4bs
Bash Cheat Sheet - SniferL4bs
 
Análisis de Metadatos con la Foca
Análisis de Metadatos con la FocaAnálisis de Metadatos con la Foca
Análisis de Metadatos con la Foca
 
Kali tools list with short description
Kali tools list with short descriptionKali tools list with short description
Kali tools list with short description
 

Ähnlich wie Explotando Add-Ons de Mozilla Firefox

Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5
navajanegra
 
Ruiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdf
Ruiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdfRuiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdf
Ruiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdf
MaximilianoMuratorio1
 
Como se instala java y turbo c 3.0
Como se instala java y turbo c 3.0Como se instala java y turbo c 3.0
Como se instala java y turbo c 3.0
tacubomx
 
Manual de hacking basico por taskkill#3
Manual de hacking basico por taskkill#3Manual de hacking basico por taskkill#3
Manual de hacking basico por taskkill#3
Brat Stell
 

Ähnlich wie Explotando Add-Ons de Mozilla Firefox (20)

The Browser Explotations
The Browser ExplotationsThe Browser Explotations
The Browser Explotations
 
Pucela testingdays testing_en_php
Pucela testingdays testing_en_phpPucela testingdays testing_en_php
Pucela testingdays testing_en_php
 
Programación web framework django - noviembre de 2014
Programación web framework django - noviembre de 2014Programación web framework django - noviembre de 2014
Programación web framework django - noviembre de 2014
 
Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5
 
Buildout: Crear y desplegar entornos reproducibles en Python
Buildout: Crear y desplegar entornos reproducibles en PythonBuildout: Crear y desplegar entornos reproducibles en Python
Buildout: Crear y desplegar entornos reproducibles en Python
 
Web App Hacking and Penetration Testing - (RFI - LFI & RCE)
Web App Hacking and Penetration Testing - (RFI - LFI & RCE) Web App Hacking and Penetration Testing - (RFI - LFI & RCE)
Web App Hacking and Penetration Testing - (RFI - LFI & RCE)
 
Iniciacion a-python-3-freelibros.com
Iniciacion a-python-3-freelibros.comIniciacion a-python-3-freelibros.com
Iniciacion a-python-3-freelibros.com
 
Ruiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdf
Ruiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdfRuiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdf
Ruiz_Torres_Jose_Miguel_Manual_Bñsico_Iniciacion_A_Python_3.pdf
 
Skipfish
Skipfish Skipfish
Skipfish
 
Jenkins, no me rompas los builds!
Jenkins, no me rompas los builds!Jenkins, no me rompas los builds!
Jenkins, no me rompas los builds!
 
Programador Jr. para Python Primera Parte
Programador Jr. para Python Primera ParteProgramador Jr. para Python Primera Parte
Programador Jr. para Python Primera Parte
 
Python
PythonPython
Python
 
FirebugNext ¿Qué se viene en la nueva versión de Firebug?
FirebugNext ¿Qué se viene en la nueva versión de Firebug?FirebugNext ¿Qué se viene en la nueva versión de Firebug?
FirebugNext ¿Qué se viene en la nueva versión de Firebug?
 
Hacking Etico by pseudor00t
Hacking Etico by pseudor00tHacking Etico by pseudor00t
Hacking Etico by pseudor00t
 
Modulo 5
Modulo 5Modulo 5
Modulo 5
 
Como se instala java y turbo c 3.0
Como se instala java y turbo c 3.0Como se instala java y turbo c 3.0
Como se instala java y turbo c 3.0
 
Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13
Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13
Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13
 
Como instalar Prolog en Windows
Como instalar Prolog en WindowsComo instalar Prolog en Windows
Como instalar Prolog en Windows
 
Manual de hacking basico por taskkill#3
Manual de hacking basico por taskkill#3Manual de hacking basico por taskkill#3
Manual de hacking basico por taskkill#3
 
4 Programas Sin costo Para Supervisar Tu Conexión A Internet
4 Programas Sin costo Para Supervisar Tu Conexión A Internet4 Programas Sin costo Para Supervisar Tu Conexión A Internet
4 Programas Sin costo Para Supervisar Tu Conexión A Internet
 

Kürzlich hochgeladen

Pons, A. - El desorden digital - guia para historiadores y humanistas [2013].pdf
Pons, A. - El desorden digital - guia para historiadores y humanistas [2013].pdfPons, A. - El desorden digital - guia para historiadores y humanistas [2013].pdf
Pons, A. - El desorden digital - guia para historiadores y humanistas [2013].pdf
frank0071
 
editorial de informática de los sueños.docx
editorial de informática de los sueños.docxeditorial de informática de los sueños.docx
editorial de informática de los sueños.docx
ssusere34b451
 

Kürzlich hochgeladen (20)

herramientas informaticas mas utilizadas
herramientas informaticas mas utilizadasherramientas informaticas mas utilizadas
herramientas informaticas mas utilizadas
 
Navegadores de internet - Nuevas Tecnologías de la Información y la Comunicación
Navegadores de internet - Nuevas Tecnologías de la Información y la ComunicaciónNavegadores de internet - Nuevas Tecnologías de la Información y la Comunicación
Navegadores de internet - Nuevas Tecnologías de la Información y la Comunicación
 
Pons, A. - El desorden digital - guia para historiadores y humanistas [2013].pdf
Pons, A. - El desorden digital - guia para historiadores y humanistas [2013].pdfPons, A. - El desorden digital - guia para historiadores y humanistas [2013].pdf
Pons, A. - El desorden digital - guia para historiadores y humanistas [2013].pdf
 
Gestión de concurrencia y bloqueos en SQL Server
Gestión de concurrencia y bloqueos en SQL ServerGestión de concurrencia y bloqueos en SQL Server
Gestión de concurrencia y bloqueos en SQL Server
 
BUSCADORES DE INTERNET (Universidad de Sonora).
BUSCADORES DE INTERNET (Universidad de Sonora).BUSCADORES DE INTERNET (Universidad de Sonora).
BUSCADORES DE INTERNET (Universidad de Sonora).
 
De Olmos Santiago_Dolores _ M1S3AI6.pptx
De Olmos Santiago_Dolores _ M1S3AI6.pptxDe Olmos Santiago_Dolores _ M1S3AI6.pptx
De Olmos Santiago_Dolores _ M1S3AI6.pptx
 
Unidad 1- Historia y Evolucion de las computadoras.pdf
Unidad 1- Historia y Evolucion de las computadoras.pdfUnidad 1- Historia y Evolucion de las computadoras.pdf
Unidad 1- Historia y Evolucion de las computadoras.pdf
 
Uso de las TIC en la vida cotidiana .
Uso de las TIC en la vida cotidiana .Uso de las TIC en la vida cotidiana .
Uso de las TIC en la vida cotidiana .
 
proyectos_social_y_socioproductivos _mapas_conceptuales
proyectos_social_y_socioproductivos _mapas_conceptualesproyectos_social_y_socioproductivos _mapas_conceptuales
proyectos_social_y_socioproductivos _mapas_conceptuales
 
lenguaje algebraico.pptx álgebra, trigonometria
lenguaje algebraico.pptx álgebra, trigonometrialenguaje algebraico.pptx álgebra, trigonometria
lenguaje algebraico.pptx álgebra, trigonometria
 
editorial de informática de los sueños.docx
editorial de informática de los sueños.docxeditorial de informática de los sueños.docx
editorial de informática de los sueños.docx
 
Inteligencia Artificial para usuarios nivel inicial
Inteligencia Artificial para usuarios nivel inicialInteligencia Artificial para usuarios nivel inicial
Inteligencia Artificial para usuarios nivel inicial
 
Presentacion y Extension de tema para Blogger.pptx
Presentacion y Extension de tema para Blogger.pptxPresentacion y Extension de tema para Blogger.pptx
Presentacion y Extension de tema para Blogger.pptx
 
Bloque 1 _ Lectura base - Sistemas Distribuidos
Bloque 1 _ Lectura base - Sistemas DistribuidosBloque 1 _ Lectura base - Sistemas Distribuidos
Bloque 1 _ Lectura base - Sistemas Distribuidos
 
JORNADA INTELIGENCIA ARTIFICIAL Y REALIDAD VIRTUAL
JORNADA INTELIGENCIA ARTIFICIAL Y REALIDAD VIRTUALJORNADA INTELIGENCIA ARTIFICIAL Y REALIDAD VIRTUAL
JORNADA INTELIGENCIA ARTIFICIAL Y REALIDAD VIRTUAL
 
Licencias para el Uso y el Desarrollo de Software
Licencias para el Uso y el Desarrollo de SoftwareLicencias para el Uso y el Desarrollo de Software
Licencias para el Uso y el Desarrollo de Software
 
VelderrainPerez_Paola_M1C1G63-097.pptx. LAS TiC
VelderrainPerez_Paola_M1C1G63-097.pptx. LAS TiCVelderrainPerez_Paola_M1C1G63-097.pptx. LAS TiC
VelderrainPerez_Paola_M1C1G63-097.pptx. LAS TiC
 
manual-de-oleohidraulica-industrial-vickers.pdf
manual-de-oleohidraulica-industrial-vickers.pdfmanual-de-oleohidraulica-industrial-vickers.pdf
manual-de-oleohidraulica-industrial-vickers.pdf
 
taller de tablas en word para estudiantes de secundaria
taller de tablas en word para estudiantes de secundariataller de tablas en word para estudiantes de secundaria
taller de tablas en word para estudiantes de secundaria
 
Herramientas informáticas. Sara Torres R.
Herramientas informáticas. Sara Torres R.Herramientas informáticas. Sara Torres R.
Herramientas informáticas. Sara Torres R.
 

Explotando Add-Ons de Mozilla Firefox

  • 1. Explotando Add-On's de Mozilla Firefox Richard Villca Apaza SixP4ck3r Hackmeeting 2013 Santa Cruz - Bolivia
  • 2. Acerca de miAcerca de mi ● Estudiante de 2do. año de sistemas. ● Amante de la tecnología y el Software Libre. ● Programador... me encanta programar en el viejo C, Java, PHP, node.js, .NET y Python. ● Uno poco mas de 5 años en el mundo del Hacking ● Escritor de pappers. ● Me encanta compartir conocimientos. ● Un autodidacta mas en la red!
  • 3. Lo que veremos...Lo que veremos... ● Intro ● Complementos, Ad-Ons, Plugins ... ● Seguridad en los Complementos de Mozilla Firefox ● Debilidades... y explotando... ● Demos (Keylogger, MiTM-GET-POST,remoteExec, Botnet) ● Add-OnFirefox + Beef = Botnet ● Entonces como puedo protegerme! ● Conclusión
  • 4. IntroduccíonIntroduccíon ● Mozilla Firefox es el tercer navegador mas usado!
  • 5. ¿Complementos ó Plugins?¿Complementos ó Plugins? Los plug-in's son pequeños programas auxiliares o dispositivos de hardware que permiten a sistemas mayores extender sus capacidades normales o aportar una función, generalmente muy específica. Gracias a sus miles de add-ons hacen a Mozilla Firefox un navegador potente.
  • 6. Todos usamos pluginsTodos usamos plugins ● Plataformas Web, CMS's ● Joomla, WordPress, Drupal, SMF y otros ● Plugins, Complementos ● Y otros... ● Aplicaciones de Escritorio ● Plugins para Photoshop ● Complementos para MS-Power Point ● Y muchos mas. ●
  • 9. Esctructura de un Add-OnEsctructura de un Add-On Soporta: ● JavaScript ● HTML5 ● Ajax ● XUL -> GUI ● XML ● Y una variedad mas.
  • 10. Esctructura de un Add-OnEsctructura de un Add-On ● chrome.manifest: Encargado de manejar la ubicacion de los ficheros del componente. ● install.rdf: Encargado de gestionar los nombres del desarollador, nombre del Add-On, Descripción, Version. ● Overlay.js: Los scripts que hacen posible el funcionamiento de un Add-On. ● Overlay.xul: GUI -> Encargado de manejar toda la interfaz grafica del Add-On.
  • 11. Seguridad en los Add-On'sSeguridad en los Add-On's ● No hay mecanismos para restringir los privilegios de un Add-On. ● Los codigos de un Add-On no son verificados. ● Ninguna restricción para comunicarse desde un Add-On hacia Internet. ● XPConnect con privilegios, haces todo lo que quieres. ● Cuestion de creatividad e imaginación.
  • 12. Pensando como atacante!Pensando como atacante! ● Leer ficheros del S.O. ● Keylogger Local, Remoto y robo de Cookies. ● MiTM control sobre el trafico POST y GET ● Reddireccion a otros sitos, control total sobre el contenido de una web. ● Distributed Denial of Service Attack (DDoS) ● Creando una BotNET con Beef ● En todos los S.O. Donde Mozilla Firefox este corriendo.
  • 13. DEMO: Keylogger RemotoDEMO: Keylogger Remoto ● PHP ● Ajax ● Una Base de Datos ● Y a divertirse!
  • 14. DEMO: MiTM Control POST GETDEMO: MiTM Control POST GET
  • 15. DEMO: Ejecución de un *.EXEDEMO: Ejecución de un *.EXE
  • 16. DEMO: Add-On + Beef = BotNETDEMO: Add-On + Beef = BotNET
  • 17. Y que dicen los AV'sY que dicen los AV's
  • 18. RecomendacionesRecomendaciones ● Jamas instales Add-Ons desde sitios dudosos. ● Cierra cualquier session que hayas iniciado, elimina tus cookies. ● Mirar en el panel de complementos de Firefox, que complementos tienes intalados, algun complemento desconocido dale en ELIMINAR. ● Mantener Firefox actualizado. ● Solo Instalar solo componentes que conoscais.
  • 20. ConclusionesConclusiones ● A pesar de que Mozilla Firefox es un navegador potente igual tiene sus debilidades. ● Si alquien te instalo un Add-On y tu no sabes ni como funciona ni donde estan ubicados para poder desinstalarlo, tienes todas las de perder. ● Como el codigo no es examinado puede venir camuflado en un Add-On valido, por ejemplo dentro del Firebug. ● Que los Add-Ons para Mozilla Firefox pueden convertirse potencialmente en Malware.
  • 21. Preguntas y DespedidaPreguntas y Despedida ● En la Informatíca y el AMOR nada es imposible! “Han podido acceder a nuestros servidores y han obtenido todas los datos.“ Los Administradores de DropBOX
  • 22. ContactoContacto E-Mail -> SixP4ck3r AT Bolivia DOT com Blog -> http://sixp4ck3r.blogspot.com/ Twitter -> @SixP4ck3r