[Owasp-brazilian] XSS é realmente uma vulnerabilidade?

Thiago Zaninotti thiago at zaninotti.net
Mon May 11 17:52:31 EDT 2009


Caro Wagner,

Buffer overflow é uma vulnerabilidade? Uma vulnerabilidade pode muito
bem ser um vetor de exploração. Buffer overflow sozinho não representa
nada (a não ser a quebra do fluxo de execução ou invocação de um
exception handler) -- é necessário modificar o endereço de retorno,
ponteiro de função, estrutura de memória ou algum registrador
importante para que alguma coisa aconteça.

Enfim, XSS é uma vulnerabilidade sim e sua criticidade pode variar de
acordo com a capacidade de se explorá-la (ex: sites que não possuem
sessão ou autenticação). O fato do agente explorado não ser
diretamente a aplicação afetada (mas sim o seu cliente), não isenta a
"classificação de vulnerabilidade".

Abraços,

Thiago Zaninotti,Security+,CISSP-ISSAP,CISM,CSSLP
Sr. InfoSec Professional



2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
> Pessoal,
>
> por favor, evitem flames, pois eu sei muito bem o que é um XSS.
>
> O que eu questiono é, XSS sozinho faz alguma coisa?
>
> Na minha opinião não.
>
> XSS pra mim é um vetor, ele sempre irá ser meio para explorar alguma
> vulnerabilidade. Sem contar que o próprio XSS necessita da interação
> de um outro agente.
>
> O que acham?
>
> Abs.
> --
> --------------------------------
> Wagner Elias
> http://wagnerelias.com
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>


More information about the Owasp-brazilian mailing list