El Top 10 Técnicas De Hacking Web Utilizados Por Los Hackers

La investigación más influyente en las vulnerabilidades y exploits, según lo votado por la comunidad de seguridad. 
MONSTRUO

SSL / TLS la vulnerabilidad que permitiría a los atacantes para interceptar las conexiones HTTPS y los obligan a utilizar el cifrado debilitada. 
Investigadores: Karthikeyan Bhargavan en INRIA en París y los miTLS equipo 
más detalles sobre la investigación: https://freakattack.com 

atasco

Otra vulnerabilidad TLS que permite man-in-the-middle por degradar las conexiones TLS vulnerables a la encriptación de 512 bits. 
Investigadores: David Adrian, Karthikeyan Bhargavan, Zakir Durumeric, Pierrick Gaudry, Matthew Green, J. Alex Halderman, Nadia Heninger, Drew Springall, Emmanuel Thomé, Lucas Valenta, Benjamin VanderSloot, Eric Wustrow, Santiago Zanella-Beguelin, y Paul Zimmermann 
Información adicional : https://weakdh.org 

web ataques puntuales Hecho Practi cal

Negro Sombrero charla sobre cómo ajustar la sincronización ataques de canal lateral para que sea más fácil de realizar ataques a distancia contra de temporización modernas aplicaciones web. 
Los investigadores Timothy Morgan y Jason Morgan 
Vídeo: https://www.youtube.com/watch?v=KirTCSAvt9M 

Evadir Todos * WAF XSS Filtros

La investigación que muestra cómo es posible evadir los filtros de cross-site scripting de todos los firewalls de aplicaciones web populares. 
Investigador: Mazin Ahmed 
Información adicional: http://blog.mazinahmed.net/2015/09/evading-all-web-application-firewalls.html 

que abusa del CDN de FRSS con Flash y DNS

La investigación puso de manifiesto en Sombrero Negro mirando una colección de patrones de ataque que puede ser utilizado contra las redes de distribución de contenidos para apuntar a una amplia gama de sitios web de alta disponibilidad. 
Investigadores: Mike Brooks y Matt Bryant 
de vídeo:

ank "> https://www.youtube.com/watch?v=ekUQIVUzDX4 
IllusoryTLS

Un patrón de ataque que pueden destruir las garantías de seguridad de la arquitectura de seguridad X.509 PKI mediante el empleo de certificados de CA que incluyen una puerta trasera en secreto incrustado. 
Investigador: Alfonso De Gregorio 
Información adicional: http://www.illusorytls.com 
Explotación XXE en la funcionalidad de análisis de archivos

Una charla Sombrero Negro examinar los métodos de explotación de vulnerabilidades XML de entidad en la funcionalidad de análisis / carga de archivos para los formatos de archivo XML soportado como DOCX, XSLX y PDF. 
Investigador: Will Vandevanter 
vídeo: https://www.youtube.com/watch?v=ouBwRZJHmmo 
Abusar XLST para los ataques prácticos

Investigación y ataques de prueba de concepto de relieve en Sombrero Negro que muestran cómo XSLT se puede aprovechar para socavar la integridad y confidencialidad de la información del usuario. 
Investigador: Fernando Arnaboldi 
vídeo: https://www.youtube.com/watch?v=bUcd-yibTCE~~number=plural 

hashes mágicas

Se ve en una debilidad en la forma en PHP maneja hash cadenas en ciertos casos, para que sea posible poner en peligro los sistemas de autenticación y otras funciones que utilizan comparaciones de hash en PHP. 
Investigadores: Robert Hansen y Jeremi M. Gosney 
información adicional: https://www.whitehatsec.com/blog/magic-hashes/~~number=plural Caza asíncrono vulnerabilidades 

La investigación presentada en 44CON profundiza en el uso de métodos de devolución de llamada inducidas por explotar para encontrar vulnerabilidades que se esconden en las funciones de back-end y subprocesos en segundo plano. 
Investigador: James Hervidor 
vídeo: https://vimeo.com/ondemand/44conlondon2015