[Owasp-brazilian] XSS é realmente uma vulnerabilidade?

Thiago Zaninotti thiago at zaninotti.net
Mon May 11 18:18:37 EDT 2009


Oi Wagner,

O fato do XSS precisar de um terceiro não diminui o papel/criticidade
da vulnerabilidade. É apenas um outro "modus operandis".

Veja se você consegue distinguir esses dois cenários:

- Buffer Overflow em um browser: Um post de um artigo contendo um
grupo de tags HTML especialmente formatadas estoura um buffer estático
em um navegador quando o usuário visitar o site, permitindo que um
grupo de instruções seja executada na máquina do usuário do site.
- XSS em uma aplicação: O mesmo post possui uma área de comentários
que permite a injeção de um código HTML arbitrário e será explorado
quando o cliente visitar o site, permitindo que um grupo de instruções
javascript seja executada no domínio de segurança daquele website.

Nos dois casos precisamos de um terceiro agente (a vítima), que será
induzida a visitar o local da exploração. O fato da vulnerabilidade do
primeiro caso estar no browser e a vulnerabilidade do segundo estar na
aplicação web não altera a "semântica" do problema.

[]s

Thiago Zaninotti,Security+,CISSP-ISSAP,CISM,CSSLP
Sr. InfoSec Professional



2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
> Oi Thiago,
>
> um BF está lá e vc pode explorar, o XSS além de ser um vetor (como o
> BF) ainda precisa de um agente pra explorar a falha.
>
> É o tipo de discussão filosófica, semântica, mas eu queria ouvir a
> opinião de todos.
>
> Eu não afirmo que XSS é uma vulnerabilidade, mas acho que é muito
> estardalhaço por uma coisa que é um "gatilho".
>
> Usando o BF como exemplo, se você encontra um BF e você não consegue
> trigar a falha, você considera como uma falha de segurança?
>
> Abs
>
> 2009/5/11 Thiago Zaninotti <thiago at zaninotti.net>:
>> Caro Wagner,
>>
>> Buffer overflow é uma vulnerabilidade? Uma vulnerabilidade pode muito
>> bem ser um vetor de exploração. Buffer overflow sozinho não representa
>> nada (a não ser a quebra do fluxo de execução ou invocação de um
>> exception handler) -- é necessário modificar o endereço de retorno,
>> ponteiro de função, estrutura de memória ou algum registrador
>> importante para que alguma coisa aconteça.
>>
>> Enfim, XSS é uma vulnerabilidade sim e sua criticidade pode variar de
>> acordo com a capacidade de se explorá-la (ex: sites que não possuem
>> sessão ou autenticação). O fato do agente explorado não ser
>> diretamente a aplicação afetada (mas sim o seu cliente), não isenta a
>> "classificação de vulnerabilidade".
>>
>> Abraços,
>>
>> Thiago Zaninotti,Security+,CISSP-ISSAP,CISM,CSSLP
>> Sr. InfoSec Professional
>>
>>
>>
>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
>>> Pessoal,
>>>
>>> por favor, evitem flames, pois eu sei muito bem o que é um XSS.
>>>
>>> O que eu questiono é, XSS sozinho faz alguma coisa?
>>>
>>> Na minha opinião não.
>>>
>>> XSS pra mim é um vetor, ele sempre irá ser meio para explorar alguma
>>> vulnerabilidade. Sem contar que o próprio XSS necessita da interação
>>> de um outro agente.
>>>
>>> O que acham?
>>>
>>> Abs.
>>> --
>>> --------------------------------
>>> Wagner Elias
>>> http://wagnerelias.com
>>> _______________________________________________
>>> Owasp-brazilian mailing list
>>> Owasp-brazilian at lists.owasp.org
>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>>
>>
>
>
>
> --
> --------------------------------
> Wagner Elias
> http://wagnerelias.com
>


More information about the Owasp-brazilian mailing list