[Owasp-brazilian] XSS é realmente uma vulnerabilidade?

Wagner Elias wagner.elias at gmail.com
Mon May 11 18:04:54 EDT 2009


Ops... Eu não afirmo que XSS NÃO é uma vulnerabilidade, mas acho que é muito
estardalhaço por uma coisa que é um "gatilho".

2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
> Oi Thiago,
>
> um BF está lá e vc pode explorar, o XSS além de ser um vetor (como o
> BF) ainda precisa de um agente pra explorar a falha.
>
> É o tipo de discussão filosófica, semântica, mas eu queria ouvir a
> opinião de todos.
>
> Eu não afirmo que XSS é uma vulnerabilidade, mas acho que é muito
> estardalhaço por uma coisa que é um "gatilho".
>
> Usando o BF como exemplo, se você encontra um BF e você não consegue
> trigar a falha, você considera como uma falha de segurança?
>
> Abs
>
> 2009/5/11 Thiago Zaninotti <thiago at zaninotti.net>:
>> Caro Wagner,
>>
>> Buffer overflow é uma vulnerabilidade? Uma vulnerabilidade pode muito
>> bem ser um vetor de exploração. Buffer overflow sozinho não representa
>> nada (a não ser a quebra do fluxo de execução ou invocação de um
>> exception handler) -- é necessário modificar o endereço de retorno,
>> ponteiro de função, estrutura de memória ou algum registrador
>> importante para que alguma coisa aconteça.
>>
>> Enfim, XSS é uma vulnerabilidade sim e sua criticidade pode variar de
>> acordo com a capacidade de se explorá-la (ex: sites que não possuem
>> sessão ou autenticação). O fato do agente explorado não ser
>> diretamente a aplicação afetada (mas sim o seu cliente), não isenta a
>> "classificação de vulnerabilidade".
>>
>> Abraços,
>>
>> Thiago Zaninotti,Security+,CISSP-ISSAP,CISM,CSSLP
>> Sr. InfoSec Professional
>>
>>
>>
>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
>>> Pessoal,
>>>
>>> por favor, evitem flames, pois eu sei muito bem o que é um XSS.
>>>
>>> O que eu questiono é, XSS sozinho faz alguma coisa?
>>>
>>> Na minha opinião não.
>>>
>>> XSS pra mim é um vetor, ele sempre irá ser meio para explorar alguma
>>> vulnerabilidade. Sem contar que o próprio XSS necessita da interação
>>> de um outro agente.
>>>
>>> O que acham?
>>>
>>> Abs.
>>> --
>>> --------------------------------
>>> Wagner Elias
>>> http://wagnerelias.com
>>> _______________________________________________
>>> Owasp-brazilian mailing list
>>> Owasp-brazilian at lists.owasp.org
>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>>
>>
>
>
>
> --
> --------------------------------
> Wagner Elias
> http://wagnerelias.com
>



-- 
--------------------------------
Wagner Elias
http://wagnerelias.com


More information about the Owasp-brazilian mailing list