El pasado 13 de Junio tuvo lugar en Barcelona la octava edición de las conferencias del capítulo español de Owasp. Las jornadas fueron excelentes y tuvieron gran aceptación entre los asistentes. Las presentaciones ya están listas además de algunas fotos del evento.

Introducción a la jornadaPDF
Vicente Aguilera Díaz.
OWASP Spain Chapter Leader. Socio y Director Dpto. Auditoría en Internet Security Auditors.

On Breaking PHP-based Cross-Site Scripting Protection Mechanisms In The WildPDF
Ashar Javed.
Research Assistant. Ruhr University Bochum, Germany.


Cross-Site Scripting (XSS) attacks are at number one in Open Source Vulnerability Database (OSVDB) and according to a recent report by Trustwave, 82% of web applications are vulnerable to XSS flaws. PHP—Hypertext Preprocessor is by far the most popular server-side web programming language. In this paper, we perform security analysis of PHP-based XSS protection mechanisms available in the wild. The analysis includes PHP’s built-in functions (11 common examples of using PHP’s built-in functions in the wild), 10 popular customized solutions powering thousands of PHP files on GitHub and 8 commercially used open-source web applications’ frameworks like CodeIgniter (in use on hundreds of thousands of web applications), htmLawed (its Drupal module has been downloaded more than 19000 times), HTML Purifier (integrated in a another popular PHP framework named Yii), Nette (in use on a website of the president of The Czech Republic), PHP Input Filter (more than 1500 PHP files on GitHub are using it), PEAR’s HTML Safe (powering more than 100 PHP files), CakePHP (in use on more than 20K PHP files) and Laravel PHP framework (winner of best PHP framework of the year 2013) etc. This paper shows how a motivated attacker can bypass these XSS protection mechanisms. We show XSS bypasses for modern and old browsers and report other issues that we found in these protection mechanisms. The developers of CodeIgniter, htmLawed, HTML Purifier and Nette have acknowledged our findings and our suggestions have been implemented in top-notch frameworks like CodeIgniter, htmLawed and Nette.

Reversing & Protecting Android applicationsPDF
Pau Oliva Fora.

Mobile Security Engineer. viaForensics.


Esta presentación mostrará como realizar ingeniería inversa de una aplicación Android, y cuales son las vulnerabilidades más comunes que se encuentran en estas aplicaciones. Por otro lado, se mostrarán algunas medidas que pueden aplicar los desarrolladores para proteger y securizar sus aplicaciones.

50 Shades of crimewarePDF
Frank Ruíz Arenas. Threat Intelligence Analyst. Fox IT.
Manu Quintans. Manager de Intelligence. Deloitte/Buguroo.


El principal objetivo de esta presentación es el de tratar el panorama actual del Cibercrimen desde un punto de vista crítico y documentado ofreciendo a los asistentes un Timeline detallado de los eventos más relevantes del panorama, desmintiendo una serie de noticias que genera el fenómeno “hype”, “cyber-%”. Además de desmentir esta serie de noticias y publicaciones se aportará una visión profesional y detallada de los actores que operan el Cibercrimen desgranando toda la información contrastada y verificada de manera que los asistentes podrán conocer como desde dentro operan este tipo de bandas organizadas. Para terminar de comprender y encajar todas las partes del puzzle, se realizará una demo en la cual se mostrará uno de los ataques que ha ganado más popularidad en 2013, los ataques a sistemas PoS (Point of Sale). La demo consistirá en infectar un punto de venta y comprobar como a partir de la infección las tarjetas de crédito son reportadas a los criminales. Estas tarjetas serán duplicadas en vivo y usadas para hacer un pago como demostración.

Big Data y Seguridad, un matrimonio de futuro – PDF

Antonio González Castro.
CISO. Pragsis Technologies.

Cuando hablamos de Big Data y la recolección de grandes volúmenes de datos, la seguridad es una capa imprescindible dentro de este marco, tal es así, que las áreas de seguridad ya se están implicando con el objetivo de proteger esta información. Pero son pocas las compañías que actualmente están aprovechando la capacidad y analítica de esta tecnología para la detección de fraude, vigilancia en internet, detección de ataques dirigidos, etc. En esta ponencia se explicará cómo realizar un propuesta tecnológica para aprovechar correctamente estos recursos y veremos casos de uso enfocados en el área de seguridad, así como buenax prácticas para la protección de clusters Hadoop.

GoLismero Project: A revolutionary security framework – PDF
Daniel García. Security Researcher and Pentester. GoLismero Project Member. Navaja Negra Conference Organizer.

Se abordarán los principales problemas en la automatización de auditorías de seguridad, riesgos, ciclos de re-auditoría y calidad, desde el punto de vista del auditor de seguridad. Se presentarán la solución propuesta por GoLismero y los diversos enfoques para llevar a cabo un trabajo proceso de auditoría de seguridad y cómo éste puede ser utilizado desde la perspectiva del pentester o un auditor a más alto nivel. Se realizarán ejemplos prácticos y concretos de éste proceso, así como una demo en directo.

Equipo de Respuesta a Incidentes – PDF
Xavier Panadero Lleonart.
Director de Operaciones. Centre de Seguretat de la Informació de Catalunya (CESICAT).

El objetivo de la ponencia es introducir a la audiencia en que consiste un CERT; cual es el objetivo, por que son necesarios, organigrama, métricas, etc.

Tus binarios hablan, ¿escuchas? – PDF
Simon Roses Femerling.
CEO & Fundador. Vulnex.

Nuestros sistemas informáticos están plagados de miles y miles de binarios de los que no tenemos inteligencia sobre su postura de seguridad. Mediante BinSecSweeper, herramienta de verificación, podemos obtener una visión global de cualquier binario y diseñar una estrategia de seguridad adecuada. Esta presentación cubre el uso de BinSecSweeper en una organización tanto para desarrollo como seguridad TI, para mejorar la seguridad del software en entornos corporativos.

Ecrime Team, What, Why, and How – PDF
Marc Rivero López.
Security Researcher. Barcelona Digital.

El malware se está haciendo latente en casi todas las áreas relacionadas con la informática. Si repasamos los últimos incidentes de seguridad relacionado con grandes compañías lo más probable es que haya un malware relacionado. Para dar un ejemplo, en los equipos de respuesta ante incidentes es normal el incorporar no solo analistas forenses, sino alguien que ejerza tareas relacionadas con el “ecrime”. Pero, ¿qué tareas realiza un equipo ecrime? En la presentación se podrán ver procedimientos, actuaciones y casos de uso de un equipo de ecrime. Esto servirá para ver en qué focalizan sus esfuerzos y como resuelven las campañas en las que los cibercriminales actúan para cometer fraude, clonar tarjetas, infectar clientes, etc.