[Owasp-brazilian] XSS é realmente uma vulnerabilidade?

Maycon Vitali mayconuvv at gmail.com
Wed May 13 09:33:03 EDT 2009


Alberto,

Não entendi o que você quiz dizer com:
"Que um XSS é uma técnica de ataque que só obtém sucesso (...)".

Poderia me dar um exemplo de um ataque de defacement que não seria
bem sucesso através de uma vulnerabilidade de XSS ?

Lembrando que não concordo com a definição de que defacement é quando
se acessa fisicamente o arquivo para alterálo (cp hack.htm index.htm).
Concordo melhor com a definição que é o ato de modificar ou danificar
a superfície ou aparência de algum objeto[1]

[1] http://dictionary.reference.com/browse/defacement

___
Abraços,
Maycon Maia Vitali ( 0ut0fBound )
http://maycon.hacknroll.com/
http://blog.hacknroll.com/
Hack'n Roll


2009/5/13 /* Alberto Fabiano */ <alberto at computer.org>
>
> 2009/5/13 Fernando Cima <fcima at microsoft.com>
>>
>> Oi Wagner,
>>
>> > Nash,
>>
>> Eu também sou cearense mas não sou o Nash... :)
>>
>> > era estes pontos que eu estava citando. No seu exemplo se o ambiente
>> > estiver bem configurado (não possuir nenhum falha) o XSS não faz nada.
>>
>> Acho que você mudou ligeiramente o seu ponto. Antes você estava dizendo que o XSS dependia de um outro ataque (como CSRF) para ser danoso. Agora você está dizendo que o XSS para ser bem sucedido depende de uma determinada defesa não estar presente.
>>
>> Da mesma forma, alguém poderia argumentar que network sniffing não seria um ataque porque se a aplicação estiver bem configurada (i.e. usando IPsec or SSL) ele não faz nada. E por aí vai. Na verdade todo ataque depende de uma vulnerabilidade estar presente.
>>
>> > O interessante foi ver o que o XSS é capaz. Melhor que a brincadeira
>> > de quantas pessoas são necessárias pra trocar uma lâmpada não é? rs...
>>
>> Não quantas pessoas, mas quantos CISSPs! Note a importância do diploma! ;)
>
> Well!
>
>        Entre um building e outro  acompanhei esta thread,  meus 0.0001 cents:
>
>        - Que um XSS é uma técnica de ataque que só obtém sucesso se o cenário alvo possuir certas vulnerabilidades para uma exploração com eficaz, isto é um fato. Mas XSS não é um recurso legítimo, previsto, arquitetado e homologado! :-)  Normalmente, empregar técnicas de XSS só é possível mediante vulnerabilidades. Portanto, XSS é uma vulnerabilidade!
>
>       Entre um bug e outro (era problema de driver) pensei em expressar uma opnião, que não surpreso vi que o Cima já o fez acima. Hoje, e a muito tempo, ataques não são resultado de um único fator, normalmente um ataque é resultado de uma fórmula com vários elementos, XSS é apenas mais um.
>
> [ ]s
>
> Alberto Fabiano
>
>>
>>
>> Abraços,
>>
>> - Fernando Cima
>>
>> -----Original Message-----
>> From: Wagner Elias [mailto:wagner.elias at gmail.com]
>> Sent: quarta-feira, 13 de maio de 2009 08:24
>> To: Fernando Cima
>> Cc: Lucas Ferreira; owasp-brazilian at lists.owasp.org
>> Subject: Re: [Owasp-brazilian] XSS é realmente uma vulnerabilidade?
>>
>> Nash,
>>
>> era estes pontos que eu estava citando. No seu exemplo se o ambiente
>> estiver bem configurado (não possuir nenhum falha) o XSS não faz nada.
>>
>> A discussão foi boa, era essa intenção. Podemos afirmar, XSS é
>> realmente uma vulnerabilidade. :) Infelizmente a discussão tomou
>> outros rumos e acabamos dando definições do que é XSS.
>>
>> O interessante foi ver o que o XSS é capaz. Melhor que a brincadeira
>> de quantas pessoas são necessárias pra trocar uma lâmpada não é? rs...
>>
>> Abs.
>>
>> 2009/5/12 Fernando Cima <fcima at microsoft.com>:
>> > Oi Wagner,
>> >
>> > Quais seriam estes dois outros problemas? Eu não estou entendendo o seu ponto. Com XSS somente você pode roubar o cookie independente do site web controlar o tempo de sessão, encriptar o cookie e usar SSL. A única defesa contra isso seria marcar o cookie como httponly, mas isso não faz com que XSS deixe de ser uma vulnerabilidade, assim como defesas como DEP e ASLR não fazem com que BO também deixe de ser uma.
>> >
>> > Abraços,
>> >
>> > - Fernando Cima
>> >
>> > -----Original Message-----
>> > From: Wagner Elias [mailto:wagner.elias at gmail.com]
>> > Sent: terça-feira, 12 de maio de 2009 17:10
>> > To: Fernando Cima
>> > Cc: Lucas Ferreira; owasp-brazilian at lists.owasp.org
>> > Subject: Re: [Owasp-brazilian] XSS é realmente uma vulnerabilidade?
>> >
>> > Cima,
>> >
>> > mais uma vez retornamos ao mesmo ponto, se ele conseguir pegar o
>> > cookie e roubar a sessão, temos dois problemas além do XSS, falha de
>> > configuração e sessão.
>> >
>> > Abs.
>> >
>> > 2009/5/11 Fernando Cima <fcima at microsoft.com>:
>> >> Oi Wagner,
>> >>
>> >> Não é necessariamente um CSRF, porque não precisa estar forjando um request ao site original em seu nome para fazer um ataque (p.ex. no caso do roubo de um cookie de sessão).
>> >>
>> >> Abraços,
>> >>
>> >> - Fernando Cima
>> >>
>> >> -----Original Message-----
>> >> From: Wagner Elias [mailto:wagner.elias at gmail.com]
>> >> Sent: segunda-feira, 11 de maio de 2009 22:15
>> >> To: Lucas Ferreira
>> >> Cc: Fernando Cima; owasp-brazilian at lists.owasp.org
>> >> Subject: Re: [Owasp-brazilian] XSS é realmente uma vulnerabilidade?
>> >>
>> >> Lucas,
>> >>
>> >> eu estou considerando o XSS apenas como vetor pelo simples fato, nem
>> >> sempre um XSS vai resultar na exploração de uma aplicação.
>> >>
>> >> Se a aplicação não tiver nenhuma outra vulnerabilidade, o máximo que o
>> >> explorador vai conseguir é um "alert".
>> >>
>> >> Nos exemplos citados, todos precisam explorar algo (uma falha de
>> >> sessão, uma falha de configuração) se não houver nenhuma
>> >> vulnerabilidade desta, o XSS vai ser só um "alert".
>> >>
>> >> Cima,
>> >>
>> >> Se o XSS explorar o Same Origin Policy e executa uma transação em meu
>> >> nome ele é um CSRF não?
>> >>
>> >> Abs.
>> >>
>> >> 2009/5/11 Lucas Ferreira <lucas.ferreira at gmail.com>:
>> >>> Wagner,
>> >>>
>> >>> o que você quer dizer com vetor? Pelo que entendi, você está
>> >>> argumentando que o XSS só permite a inserção de um script e que quem
>> >>> faz o trabalho sujo é o script. Entendi corretamente?
>> >>>
>> >>> Quanto à questão do agente, a definição da CisspBR
>> >>> (http://tech.groups.yahoo.com/group/cisspBR/files/Definicoes/) diz:
>> >>>
>> >>> "As vulnerabilidades não provocam sozinhas os incidentes de segurança,
>> >>> pois são elementos passivos,
>> >>> sendo necessário a ação de um agente ou condição favorável."
>> >>>
>> >>> ou senão:
>> >>>
>> >>> "Vulnerabilidade é uma falha em um ponto de entrada que possibilita o
>> >>> comprometimento da
>> >>> confidencialidade, integridade ou disponibilidade de um ativo de informação."
>> >>>
>> >>> Relendo a definição, ainda acho que XSS é uma vulnerabilidade.
>> >>>
>> >>> Inté,
>> >>>
>> >>> Lucas
>> >>>
>> >>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
>> >>>> Pessoal,
>> >>>>
>> >>>> o fato de precisar de um agente, eu concordo, isso não diminui a
>> >>>> criticidade da vulnerabilidade que é explorada pelo XSS.
>> >>>>
>> >>>> Pegue todos os exemplos que deram, em todos os casos o XSS não foi só o vetor?
>> >>>>
>> >>>> Em alguma situação um XSS sem uma outra vulnerabilidade faz alguma coisa?
>> >>>>
>> >>>> Lembro, eu apenas quero estressar esta questão, eu sei exatamente o
>> >>>> que um XSS pode fazer, porém tenho estas "dúvidas"...rs...
>> >>>>
>> >>>> Abs.
>> >>>>
>> >>>> 2009/5/11 Fernando Cima <fcima at microsoft.com>:
>> >>>>> Oi Wagner,
>> >>>>>
>> >>>>> XSS é uma forma de você fazer com que código Javascript seja executado no browser de um usuário, da mesma forma que um BO é uma forma de você fazer com que código nativo seja executado na máquina do usuário (ou em um servidor). O que torna o XSS eu acho ainda mais perigoso que o BO em alguns casos é que os dados - que é o que você realmente quer proteger - podem estar muito mais facilmente acessíveis a partir do browser do usuário do que de uma aplicação nativa.
>> >>>>>
>> >>>>> BO da mesma forma podem precisar de um "gatilho", especialmente os que são no lado client (por exemplo, o usuário tem que abrir um arquivo com o Office). Nem por isso eles deixam de ser vulnerabilidades importantes.
>> >>>>>
>> >>>>> Abraços,
>> >>>>>
>> >>>>> - Fernando Cima
>> >>>>>
>> >>>>> -----Original Message-----
>> >>>>> From: owasp-brazilian-bounces at lists.owasp.org [mailto:owasp-brazilian-bounces at lists.owasp.org] On Behalf Of Wagner Elias
>> >>>>> Sent: segunda-feira, 11 de maio de 2009 19:05
>> >>>>> To: Thiago Zaninotti
>> >>>>> Cc: owasp-brazilian at lists.owasp.org
>> >>>>> Subject: Re: [Owasp-brazilian] XSS é realmente uma vulnerabilidade?
>> >>>>>
>> >>>>> Ops... Eu não afirmo que XSS NÃO é uma vulnerabilidade, mas acho que é muito
>> >>>>> estardalhaço por uma coisa que é um "gatilho".
>> >>>>>
>> >>>>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
>> >>>>>> Oi Thiago,
>> >>>>>>
>> >>>>>> um BF está lá e vc pode explorar, o XSS além de ser um vetor (como o
>> >>>>>> BF) ainda precisa de um agente pra explorar a falha.
>> >>>>>>
>> >>>>>> É o tipo de discussão filosófica, semântica, mas eu queria ouvir a
>> >>>>>> opinião de todos.
>> >>>>>>
>> >>>>>> Eu não afirmo que XSS é uma vulnerabilidade, mas acho que é muito
>> >>>>>> estardalhaço por uma coisa que é um "gatilho".
>> >>>>>>
>> >>>>>> Usando o BF como exemplo, se você encontra um BF e você não consegue
>> >>>>>> trigar a falha, você considera como uma falha de segurança?
>> >>>>>>
>> >>>>>> Abs
>> >>>>>>
>> >>>>>> 2009/5/11 Thiago Zaninotti <thiago at zaninotti.net>:
>> >>>>>>> Caro Wagner,
>> >>>>>>>
>> >>>>>>> Buffer overflow é uma vulnerabilidade? Uma vulnerabilidade pode muito
>> >>>>>>> bem ser um vetor de exploração. Buffer overflow sozinho não representa
>> >>>>>>> nada (a não ser a quebra do fluxo de execução ou invocação de um
>> >>>>>>> exception handler) -- é necessário modificar o endereço de retorno,
>> >>>>>>> ponteiro de função, estrutura de memória ou algum registrador
>> >>>>>>> importante para que alguma coisa aconteça.
>> >>>>>>>
>> >>>>>>> Enfim, XSS é uma vulnerabilidade sim e sua criticidade pode variar de
>> >>>>>>> acordo com a capacidade de se explorá-la (ex: sites que não possuem
>> >>>>>>> sessão ou autenticação). O fato do agente explorado não ser
>> >>>>>>> diretamente a aplicação afetada (mas sim o seu cliente), não isenta a
>> >>>>>>> "classificação de vulnerabilidade".
>> >>>>>>>
>> >>>>>>> Abraços,
>> >>>>>>>
>> >>>>>>> Thiago Zaninotti,Security+,CISSP-ISSAP,CISM,CSSLP
>> >>>>>>> Sr. InfoSec Professional
>> >>>>>>>
>> >>>>>>>
>> >>>>>>>
>> >>>>>>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
>> >>>>>>>> Pessoal,
>> >>>>>>>>
>> >>>>>>>> por favor, evitem flames, pois eu sei muito bem o que é um XSS.
>> >>>>>>>>
>> >>>>>>>> O que eu questiono é, XSS sozinho faz alguma coisa?
>> >>>>>>>>
>> >>>>>>>> Na minha opinião não.
>> >>>>>>>>
>> >>>>>>>> XSS pra mim é um vetor, ele sempre irá ser meio para explorar alguma
>> >>>>>>>> vulnerabilidade. Sem contar que o próprio XSS necessita da interação
>> >>>>>>>> de um outro agente.
>> >>>>>>>>
>> >>>>>>>> O que acham?
>> >>>>>>>>
>> >>>>>>>> Abs.
>> >>>>>>>> --
>> >>>>>>>> --------------------------------
>> >>>>>>>> Wagner Elias
>> >>>>>>>> http://wagnerelias.com
>> >>>>>>>> _______________________________________________
>> >>>>>>>> Owasp-brazilian mailing list
>> >>>>>>>> Owasp-brazilian at lists.owasp.org
>> >>>>>>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>> >>>>>>>>
>> >>>>>>>
>> >>>>>>
>> >>>>>>
>> >>>>>>
>> >>>>>> --
>> >>>>>> --------------------------------
>> >>>>>> Wagner Elias
>> >>>>>> http://wagnerelias.com
>> >>>>>>
>> >>>>>
>> >>>>>
>> >>>>>
>> >>>>> --
>> >>>>> --------------------------------
>> >>>>> Wagner Elias
>> >>>>> http://wagnerelias.com
>> >>>>> _______________________________________________
>> >>>>> Owasp-brazilian mailing list
>> >>>>> Owasp-brazilian at lists.owasp.org
>> >>>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>> >>>>>
>> >>>>
>> >>>>
>> >>>>
>> >>>> --
>> >>>> --------------------------------
>> >>>> Wagner Elias
>> >>>> http://wagnerelias.com
>> >>>> _______________________________________________
>> >>>> Owasp-brazilian mailing list
>> >>>> Owasp-brazilian at lists.owasp.org
>> >>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>> >>>>
>> >>>
>> >>>
>> >>>
>> >>> --
>> >>> If a tree falls in the forest and no one is around to see it, do the
>> >>> other trees make fun of it?
>> >>>
>> >>
>> >>
>> >>
>> >> --
>> >> --------------------------------
>> >> Wagner Elias
>> >> http://wagnerelias.com
>> >>
>> >>
>> >
>> >
>> >
>> > --
>> > --------------------------------
>> > Wagner Elias
>> > http://wagnerelias.com
>> >
>> >
>>
>>
>>
>> --
>> --------------------------------
>> Wagner Elias
>> http://wagnerelias.com
>>
>> _______________________________________________
>> Owasp-brazilian mailing list
>> Owasp-brazilian at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
>
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>


More information about the Owasp-brazilian mailing list