Cookie vulnerabilities in web applications: Social Networks and Streaming
DOI:
https://doi.org/10.33936/isrtic.v7i1.5792Keywords:
Session Theft, social networks, Streaming Platforms, Rubber DuckyAbstract
The research analyzes the vulnerability of attacks related to the session ID and the use of cookies in Cross Site Request Forgery (CSRF) attacks simulating a real cyber attack in a controlled environment. The methodology used was Pentesting with OWASP, which is divided into four phases: Recognition, which focuses on the analysis of social networks and Streaming platforms to obtain information that can be used to obtain unauthorized access to the system or application. Vulnerability analysis, which is responsible for selecting the tools to exploit the vulnerabilities identified in the previous phase. Exploitation, which consists of taking actions to compromise the audited system using automated tools simulating a Rubber Ducky with the Arduino Raspberry Pi Pico. Post exploitation focuses on testing to verify the information that can be obtained by exploiting the identified weaknesses. As a result, Facebook is the most vulnerable social network and exposes the largest amount of data to attackers. On the other hand, YouTube is the Streaming platform that provides the most information to attackers, while Netflix is one of the most vulnerable due to the large number of cookies found. Twitter is considered one of the safest social networks as it detects and blocks suspicious activity, while LinkedIn and Reddit are the safest as accounts could not be accessed using the extracted cookies.
Downloads
References
Aguilera, O., Pérez, Alí., y Rivero, R. (2017). La protección de la información. Una visión desde las entidades educativas cubanas. Ciencias de la información, 48(3), 41–47. Recuperado: 18/05/2023. Obtenido de: https://www.redalyc.org/articulo.oa?id=181457243006
Álvarez, P. (2022). Top 10 vulnerabilidades web de 2021. Instituto Nacional de Ciberseguridad. Recuperado: 17/05/2023. Obtenido de: https://www.incibe.es/protege-tu-empresa/blog/top-10-vulnerabilidades-web-2021
Carpio, A. (2018). Implementación de un esquema de seguridad inicial para las aplicaciones web del grupo comercial IIASA Ecuador, usando como referencia los riesgos de seguridad de aplicaciones web del apartado OWASP Top 10 2013. DSpace en Espol. Recuperado: 19/05/2023. Obtenido de: https://www.dspace.espol.edu.ec/handle/123456789/43623
Diazgranados, H. (2020). Empresas, principal objetivo de ciberataques en América Latina. Kaspersky. Recuperado: 19/05/2023. Obtenido de: https://latam.kaspersky.com/blog/empresas-principal-objetivo-de-ciberataques-en-america-latina/20209/
Fernández-Paniagua, A. (2022). Las Redes Sociales más utilizadas: cifras y estadísticas. Thinking for Innovation. Recuperado: 19/05/2023. Obtenido de: https://www.iebschool.com/blog/medios-sociales-mas-utilizadas-redes-sociales/
Fuentes, J., Castro, S., Medina, B., Moreno, F., y Sepúlveda, S. (2018). Experimentación de controladores digitales clásicos en un sistema embebido aplicado en un proceso térmico. Revista UIS Ingenierías, 17(1), 81-92. Recuperado: 17/05/2023. Obtenido de: https://doi.org/10.18273/revuin.v17n1-2018008
González, B. y Zúniga, M. (2017). Estudio del impacto de las cookies en la seguridad de las aplicaciones web. Research gate. Recuperado: 19/05/2023. Obtenido de: https://www.researchgate.net/publication/324485783_Estudio_del_impacto_de_las_cookies_en_la_seguridad_de_las_aplicaciones_web
Hernández, M. (2022). Pentesting con OWASP: fases y metodología. Blog de Hiberus Tecnología. Recuperado: 19/05/2023. Obtenido de: https://www.hiberus.com/crecemos-contigo/pentesting-owasp-fases-metodologia/
Juan, A. (2018). Seguridad de la Información en las organizaciones. 2(978-958-59925-8-0), 111-121. Recuperado: 19/05/2023. Obtenido de: https://www.researchgate.net/profile/Ivan-Delgado-Gonzalez-2/publication/343167096_Seguridad_de_la_Informacion_en_las_organizaciones/links/5f19eb2345851515ef44b578/Seguridad-de-la-Informacion-en-las-organizaciones.pdf?origin=publicationDetail&_sg%5B0%5D=-
Kaspersky, (2021). Continúa la guerra del streaming: ¿Qué pasa con las ciberamenazas? Kaspersky. Recuperado: 19/05/2023. Obtenido de: https://securelist.lat/streaming-related-cyberthreats-report-2021/95772/
Marcillo, K. (2021). Análisis de las herramientas y técnicas utilizadas en prueba de penetración para la detección de vulnerabilidades en aplicaciones web. Unesum-Ciencias, 5(1), 135-144. Recuperado: 18/05/2023. Obtenido de: https://revistas.unesum.edu.ec/index.php/unesumciencias/article/view/316
Muncaster, P. (2022). Amenazas dirigidas al navegador: cómo buscar en la web de forma segura. WeLiveSecurity. Recuperado: 16/05/2023. Obtenido de: https://www.welivesecurity.com/la-es/2022/08/10/amenazas-dirigidas-navegador-web-como-buscar-forma-segura/
Roca, J., y Fernández, G. (2019). Estudios de seguridad de aplicaciones web. Repositorio Institucional del Centro Universitario de la Defensa. Recuperado: 16/05/2023. Obtenido de: http://calderon.cud.uvigo.es/handle/123456789/328
Vázquez, L. (2022). Descubre cuáles son las 4 plataformas de streaming más usadas del mundo. Uno TV. Recuperado: 19/05/2023. Obtenido de: https://www.unotv.com/ciencia-y-tecnologia/plataformas-de-streaming-mas-usadas-del-mundo-descubre-cuales-son/
Vega, E. (2021). Seguridad de la información. Área de innovación y desarrollo. 3Ciencias Recuperado: 19/05/2023. Obtenido de: https://doi.org/10.17993/tics.2021.4
Vishnu S., y Kulkarni, L. (2023). Survey on micro-controller based bad USB attacks. Journal of Positive School Psychology, 965–974. Recuperado: 17/05/2023. Obtenido de: https://www.journalppw.com/index.php/jpsp/article/view/15319
Vishnu, S., y Kulkarni, L. (2022). Enhancement and implementation of BadUSB attacks using microcontrollers. Journal of Positive School Psychology, 6(9), 563–573. Recuperado: 18/05/2023. Obtenido de: https://www.journalppw.com/index.php/jpsp/article/view/12204
Downloads
Published
How to Cite
Issue
Section
License
Copyright (c) 2023 Aura Dolores Zambrano Rendón, Luis Cristóbal Cedeño-Valarezo , Diego Alexander Avellán Vera , Jahir Enrique Herrera Molina , Kevin Julio Cedeño Zambrano
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
Articles submitted to this journal for publication will be released for open access under a Creative Commons Attribution Non-Commercial No Derivative Works licence (http://creativecommons.org/licenses/by-nc-nd/4.0).
The authors retain copyright, and are therefore free to share, copy, distribute, perform and publicly communicate the work under the following conditions: Acknowledge credit for the work specified by the author and indicate if changes were made (you may do so in any reasonable way, but not in a way that suggests that the author endorses your use of his or her work. Do not use the work for commercial purposes. In case of remixing, transformation or development, the modified material may not be distributed.
