Tainting the way: automatizando DOM XSS a gran escala
Idioma: es En esta charla, Diego Bernal Adelantado (también conocido como @godiego), presentará una forma ampliamente conocida pero profundamente subestimada de identificar la presencia de DOM XSS: tainted tracking (seguimiento contaminado). Explicará cómo se puede usar para detectar la presencia de este tipo de vulnerabilidad de forma completamente automatizada, así como el proceso detrás de esto usando Puppeteer. Como bug hunter, uno de los objetivos principales para maximizar las ganancias es automatizar, por lo que también mencionará cómo lo ha hecho con este tipo de vulnerabilidad y dónde radican las dificultades. Finalmente, mostrará ejemplos de hallazgos de la vida real en programas de bug bounty, explicando cómo se introdujeron las vulnerabilidades, cómo sería posible parchearlas y cómo las detectó el escáner.
Diego Bernal Adelantado
Diego Bernal Adelantado (@godiego) es un bug hunter de Valencia, España. Ha encontrado una gran variedad de vulnerabilidades en muchos programas, lo que lo llevó a estar entre los 3 primeros de la clasificación de HackerOne de España en 2021. También tiene experiencia en desarrollo, ya que trabajó para Netcraft, una de las principales empresas que proporcionan servicios anti-phishing. Aparte de eso, le encantan las artes marciales, aprender nuevos idiomas y probar comida nueva