[Owasp-brazilian] XSS é realmente uma vulnerabilidade?

Fernando Cima fcima at microsoft.com
Mon May 11 21:01:47 EDT 2009


Oi Wagner,

Não, não é necessário nenhuma outra vulnerabilidade. Com o XSS você está bypassando o "same origin policy" (btw o que é a própria a definição de uma vulnerabilidade: algo que permite a você violar a política de segurança implementada pelo produto - http://technet.microsoft.com/en-us/library/cc751383.aspx) e injetando código que permite por exemplo roubar a sessão do usuário (spoofing), alterar dados em uma armazenados via servidor web (tampering) ou executar transações em seu nome (impersonation). 

Abraços,

- Fernando Cima

-----Original Message-----
From: Wagner Elias [mailto:wagner.elias at gmail.com] 
Sent: segunda-feira, 11 de maio de 2009 21:53
To: Fernando Cima
Cc: Thiago Zaninotti; owasp-brazilian at lists.owasp.org
Subject: Re: [Owasp-brazilian] XSS é realmente uma vulnerabilidade?

Pessoal,

o fato de precisar de um agente, eu concordo, isso não diminui a
criticidade da vulnerabilidade que é explorada pelo XSS.

Pegue todos os exemplos que deram, em todos os casos o XSS não foi só o vetor?

Em alguma situação um XSS sem uma outra vulnerabilidade faz alguma coisa?

Lembro, eu apenas quero estressar esta questão, eu sei exatamente o
que um XSS pode fazer, porém tenho estas "dúvidas"...rs...

Abs.

2009/5/11 Fernando Cima <fcima at microsoft.com>:
> Oi Wagner,
>
> XSS é uma forma de você fazer com que código Javascript seja executado no browser de um usuário, da mesma forma que um BO é uma forma de você fazer com que código nativo seja executado na máquina do usuário (ou em um servidor). O que torna o XSS eu acho ainda mais perigoso que o BO em alguns casos é que os dados - que é o que você realmente quer proteger - podem estar muito mais facilmente acessíveis a partir do browser do usuário do que de uma aplicação nativa.
>
> BO da mesma forma podem precisar de um "gatilho", especialmente os que são no lado client (por exemplo, o usuário tem que abrir um arquivo com o Office). Nem por isso eles deixam de ser vulnerabilidades importantes.
>
> Abraços,
>
> - Fernando Cima
>
> -----Original Message-----
> From: owasp-brazilian-bounces at lists.owasp.org [mailto:owasp-brazilian-bounces at lists.owasp.org] On Behalf Of Wagner Elias
> Sent: segunda-feira, 11 de maio de 2009 19:05
> To: Thiago Zaninotti
> Cc: owasp-brazilian at lists.owasp.org
> Subject: Re: [Owasp-brazilian] XSS é realmente uma vulnerabilidade?
>
> Ops... Eu não afirmo que XSS NÃO é uma vulnerabilidade, mas acho que é muito
> estardalhaço por uma coisa que é um "gatilho".
>
> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
>> Oi Thiago,
>>
>> um BF está lá e vc pode explorar, o XSS além de ser um vetor (como o
>> BF) ainda precisa de um agente pra explorar a falha.
>>
>> É o tipo de discussão filosófica, semântica, mas eu queria ouvir a
>> opinião de todos.
>>
>> Eu não afirmo que XSS é uma vulnerabilidade, mas acho que é muito
>> estardalhaço por uma coisa que é um "gatilho".
>>
>> Usando o BF como exemplo, se você encontra um BF e você não consegue
>> trigar a falha, você considera como uma falha de segurança?
>>
>> Abs
>>
>> 2009/5/11 Thiago Zaninotti <thiago at zaninotti.net>:
>>> Caro Wagner,
>>>
>>> Buffer overflow é uma vulnerabilidade? Uma vulnerabilidade pode muito
>>> bem ser um vetor de exploração. Buffer overflow sozinho não representa
>>> nada (a não ser a quebra do fluxo de execução ou invocação de um
>>> exception handler) -- é necessário modificar o endereço de retorno,
>>> ponteiro de função, estrutura de memória ou algum registrador
>>> importante para que alguma coisa aconteça.
>>>
>>> Enfim, XSS é uma vulnerabilidade sim e sua criticidade pode variar de
>>> acordo com a capacidade de se explorá-la (ex: sites que não possuem
>>> sessão ou autenticação). O fato do agente explorado não ser
>>> diretamente a aplicação afetada (mas sim o seu cliente), não isenta a
>>> "classificação de vulnerabilidade".
>>>
>>> Abraços,
>>>
>>> Thiago Zaninotti,Security+,CISSP-ISSAP,CISM,CSSLP
>>> Sr. InfoSec Professional
>>>
>>>
>>>
>>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
>>>> Pessoal,
>>>>
>>>> por favor, evitem flames, pois eu sei muito bem o que é um XSS.
>>>>
>>>> O que eu questiono é, XSS sozinho faz alguma coisa?
>>>>
>>>> Na minha opinião não.
>>>>
>>>> XSS pra mim é um vetor, ele sempre irá ser meio para explorar alguma
>>>> vulnerabilidade. Sem contar que o próprio XSS necessita da interação
>>>> de um outro agente.
>>>>
>>>> O que acham?
>>>>
>>>> Abs.
>>>> --
>>>> --------------------------------
>>>> Wagner Elias
>>>> http://wagnerelias.com
>>>> _______________________________________________
>>>> Owasp-brazilian mailing list
>>>> Owasp-brazilian at lists.owasp.org
>>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>>>
>>>
>>
>>
>>
>> --
>> --------------------------------
>> Wagner Elias
>> http://wagnerelias.com
>>
>
>
>
> --
> --------------------------------
> Wagner Elias
> http://wagnerelias.com
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>



-- 
--------------------------------
Wagner Elias
http://wagnerelias.com



More information about the Owasp-brazilian mailing list