[Owasp-brazilian] Qual prejuízo um simples XSS (Cross Site Scripting) pode causar?

Wagner Elias wagner.elias at gmail.com
Mon Jun 15 13:31:12 EDT 2009


----------------------------------------------
Qual o tamanho do prejuízo que um simples XSS (Cross Site Scripting)
pode causar?
from N-Stalker Web Security Community by Sp0oKeR

Lendo nossos feeds essa semana , nos deparamos com dois casos em que
um simples XSS pode se transformar em um prejuízo imensurável para
empresa.

No  primeiro caso, o site de uma empresa que oferecia um software no
modelo SaaS (Software as a Service) teve seu serviço/software
desfigurado via um XSS , ou seja, todo cliente que acessou a interface
naquele momento viu ao invés dos belos gráficos, uma mensagem, pedindo
a correção da falha em nome dos usuários do sistema.

Aqui fica difícil mensurar o valor do XSS , pois desconhecemos valores
dos serviços da service-now.com  , bem como quantidade de usuários que
provavelmente viram a tela modificada, mas ter seu domínio e site
publicado em um site profissional reconhecido, bem como seus clientes
e/ou futuros clientes terem visto o site desfigurado com certeza é uma
quantia razoável o prejuízo.

Você vendo o post abaixo confiaria seus dados e necessidades a empresa
citada ?  Vocês questionam a segurança dos serviços online que
utilizam?

O post falando sobre a falha do service-now.com você ser lido em:
http://holisticinfosec.blogspot.com/2009/05/eweek-hypes-secure-saas-without.html

Outro caso interessante envolvendo uma falha XSS  nessa semana, foi o
concurso do Strong Webmail ( http://www.strongwebmail.com ). O
concurso desafiava hackers a  descobrirem falhas no seu sistema de
webmail em troca de 10 mil dólares (
http://www.strongwebmail.com/secure/email/contests/hack ) . O sistema
adicionou um novo mecanismo de segurança  onde para autenticar o
usuário recebe dígitos para completar a autenticação via celular . Mas
aproveitando de uma falha XSS, os desafiantes enviaram um e-mail para
o CEO da empresa e fizeram o sequestro da conta do mesmo, tendo acesso
a conta dele e logicamente sem o uso do PIN .

Alguns posts comentando sobre o assunto  “Quando um XSS vale 10 mil
dólares”: http://www.cgisecurity.com/2009/06/when-xss-can-cost-you-10000.html
.Também  foi citado na zdnet:  http://blogs.zdnet.com/BTL/?p=19318

Quanto valeu a falha, ou seja , o XSS em questão ? Diretamente 10 mil
dólares mas e a imagem da empresa? Repercussão negativa na midia é
praticamente incalculável. Ter um XSS no site é realmente algo que não
podemos tolerar nos dias atuais (XSS é uma das falhas que encontramos
com frequência fazendo verificações com o  N-Stalker Web Application
Security).

Vale sempre lembrar para todos desenvolvedores ou profissionais de
segurança que o OWASP TOP10 (
http://www.owasp.org/index.php/Brazilian#Tradu.C3.A7.C3.A3o_OWASP_TOP10
) classifica o XSS como TOP 1 . Embora seja uma falha considerada
client side, já que a mesma  necessita, na maioria dos casos de um
vetor, ou terceiro para o ataque, ela pode ser facilmente explorada.
Existe uma excelente thread em pt_BR na OWASP-BR (
https://lists.owasp.org/pipermail/owasp-brazilian/2009-May/000589.html
) sobre “XSS é realmente uma vulnerabilidade ?” .

Portanto cuide-se contra ataques que exploram vulnerabilidades de
Cross-Site Scripting (XSS) pois se seu sistema possuir outras falhas
isso poderá ser traumático para imagem  e segurança dos dados da sua
empresa.

N-Stalker Research Team
--------------------------------------------------------

Done!

2009/6/15 Rodrigo Montoro(Sp0oKeR) <spooker at gmail.com>:
> Ahh...se voces forem no archive da lista podem ver a mensagem normalmente.
>
> Sinceramente acho que eh algo no sistema da owasp hehehe.
>
> On 6/15/09, Rodrigo Montoro(Sp0oKeR) <spooker at gmail.com> wrote:
>> Estranho....eu nao tenho nada de cisco e uso gmail padrao. A lista ta
>> em algum server ironport protected? Eu recebi essa confirmacao tbm,
>> por isso acredito q seja algo da lista.
>>
>> abss
>>
>> On 6/15/09, Lucas Ferreira <lucas.ferreira at gmail.com> wrote:
>>> Rodrigo,
>>>
>>> tem como mandar esta mensagem de uma forma que não exija registro?
>>>
>>> Valeu,
>>>
>>> Lucas
>>>
>>> 2009/6/11 Rodrigo Montoro(Sp0oKeR) <spooker at gmail.com>
>>>
>>>>       You have received a secure message     *Read your secure message
>>>> by
>>>> opening the attachment, securedoc.html.* You will be prompted to open
>>>> (view) the file or save (download) it to your computer. For best
>>>> results,
>>>> save the file first, then open it in a Web browser. To access from a
>>>> mobile
>>>> device, forward this message to mobile at res.cisco.com to receive a mobile
>>>> login URL.
>>>>
>>>> If you have concerns about the validity of this message, contact the
>>>> sender
>>>> directly.
>>>>
>>>> *First time users -* will need to register after opening the attachment.
>>>> *Help -* https://res.cisco.com/websafe/help?topic=RegEnvelope
>>>> *About Cisco Registered Email Service -*
>>>> https://res.cisco.com/websafe/about
>>>>
>>>>
>>>
>>>
>>>
>>> --
>>> If a tree falls in the forest and no one is around to see it, do the
>>> other
>>> trees make fun of it?
>>>
>>
>>
>> --
>> Rodrigo Montoro (Sp0oKeR)
>> http://www.spooker.com.br
>> http://www.snort.org.br
>> http://www.linkedin.com/in/spooker
>>
>> YSTS 3.0 - June 22nd, 2009 - http://ysts.org
>>
>
>
> --
> Rodrigo Montoro (Sp0oKeR)
> http://www.spooker.com.br
> http://www.snort.org.br
> http://www.linkedin.com/in/spooker
>
> YSTS 3.0 - June 22nd, 2009 - http://ysts.org
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>



-- 
Wagner Elias - OWASP Leader Project Brazil
------------------------------------------------------------------
Twitter: www.twitter.com/welias
Blog: http://wagnerelias.com
Profile: http://www.linkedin.com/in/wagnerelias


More information about the Owasp-brazilian mailing list