Para visualizar el sitio de manera óptima actualice el navegador. ×

Knocking Down the Big Door (Breaking Authentication and Segregation of Production & Non-Production Environments)

Con más de 2000 clientes de empresas y manejando 1.5mil millones de logins cada dia, Auth0 es una de las plataformas de identidad más grandes. En esta charla les diré la historia de cómo, en Cinta Infinita, encontramos una vulnerabilidad de salto de autenticación que afectó a cualquier aplicación usando Auth0 (para nombre de usuario y autenticación de password) en un contexto de investigación independiente y sin fines de lucro.

Los conceptos de profunda seguridad de los Tokens Web JSON, autenticación y autorización, criptografía, intercepción/manipulación de tráfico HTTP, y muchos más, serán tratados. Adicionalmente, otros dos casos serán presentados como una introducción al principal problema de seguridad: el primero involucra un manejo secreto incorrecto entre ambientes de Producción y de No-Producción y una mala implementación de una funcionalidad sensible. Luego, el segundo, mostrará cómo configuraciones inseguras y administración inadecuada de características en MS Azure (y típicas instalaciones IIS) para aplicaciones Web .NET usando autenticación SAML podrían llevar a comprometer por completo una aplicación y su información.

  • Caso1: sea cuidadoso al personificar usuarios. De verdad.

  • Caso2: vulnerabilidades de salto de autenticación en la plataforma Auth0.

  • Caso 3: observación en MS Azure e instalaciones ejectutando aplicaciones Web .NET usando autenticación SAML. Machine Keys? Es esa una nueva banda de rock? Conclusiones.

Sobre Nahuel Grisolía

Nahuel Grisolia es el fundador y CEO de Cinta Infinita, una empresa de seguridad en informática con sede en Buenos Aires, Argentina. Es especialista en aplicaciones de Penetration testing y Hardware Hacking. Ama jugar con placas arduino, dispositivos basados en hardware ARM, Tamagotchis, Quadcopters, Lasers, etc. Ha llevado a cabo trainings y brindado charlas en conferencias alrededor del mundo: BugCON (Mexico), H2HC (Brazil), Ekoparty (Argentina), OWASP events (Argentina), TROOPERS (Germany), PHDays (Russia), Ground Zero Summit (India), etc. Ha descubierto vulnerabilidades en softwares desde McAfee, VMWare, Manage Engine, Oracle, Websense, Google, Twitter, Auth0 y también en proyectos de software gratuitos como Achievo, Cacti, OSSIM, Dolibarr y osTicket.