[Owasp-brazilian] XSS é realmente uma vulnerabilidade?

Thiago Lechuga thiagoalz at gmail.com
Mon May 11 21:17:23 EDT 2009


Se tiver so um XSS o cara ja pode fazer um deface! Isso já nao classifica
ele como uma falha?
[]s,

Thiago Alvarenga Lechuga
(19)9153-3822

Página Pessoal:
http://thiagoalz.googlepages.com/home

===Knowledge is only useful if you can share it.===


2009/5/11 Wagner Elias <wagner.elias at gmail.com>

> Lucas,
>
> eu estou considerando o XSS apenas como vetor pelo simples fato, nem
> sempre um XSS vai resultar na exploração de uma aplicação.
>
> Se a aplicação não tiver nenhuma outra vulnerabilidade, o máximo que o
> explorador vai conseguir é um "alert".
>
> Nos exemplos citados, todos precisam explorar algo (uma falha de
> sessão, uma falha de configuração) se não houver nenhuma
> vulnerabilidade desta, o XSS vai ser só um "alert".
>
> Cima,
>
> Se o XSS explorar o Same Origin Policy e executa uma transação em meu
> nome ele é um CSRF não?
>
> Abs.
>
> 2009/5/11 Lucas Ferreira <lucas.ferreira at gmail.com>:
> > Wagner,
> >
> > o que você quer dizer com vetor? Pelo que entendi, você está
> > argumentando que o XSS só permite a inserção de um script e que quem
> > faz o trabalho sujo é o script. Entendi corretamente?
> >
> > Quanto à questão do agente, a definição da CisspBR
> > (http://tech.groups.yahoo.com/group/cisspBR/files/Definicoes/) diz:
> >
> > "As vulnerabilidades não provocam sozinhas os incidentes de segurança,
> > pois são elementos passivos,
> > sendo necessário a ação de um agente ou condição favorável."
> >
> > ou senão:
> >
> > "Vulnerabilidade é uma falha em um ponto de entrada que possibilita o
> > comprometimento da
> > confidencialidade, integridade ou disponibilidade de um ativo de
> informação."
> >
> > Relendo a definição, ainda acho que XSS é uma vulnerabilidade.
> >
> > Inté,
> >
> > Lucas
> >
> > 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
> >> Pessoal,
> >>
> >> o fato de precisar de um agente, eu concordo, isso não diminui a
> >> criticidade da vulnerabilidade que é explorada pelo XSS.
> >>
> >> Pegue todos os exemplos que deram, em todos os casos o XSS não foi só o
> vetor?
> >>
> >> Em alguma situação um XSS sem uma outra vulnerabilidade faz alguma
> coisa?
> >>
> >> Lembro, eu apenas quero estressar esta questão, eu sei exatamente o
> >> que um XSS pode fazer, porém tenho estas "dúvidas"...rs...
> >>
> >> Abs.
> >>
> >> 2009/5/11 Fernando Cima <fcima at microsoft.com>:
> >>> Oi Wagner,
> >>>
> >>> XSS é uma forma de você fazer com que código Javascript seja executado
> no browser de um usuário, da mesma forma que um BO é uma forma de você fazer
> com que código nativo seja executado na máquina do usuário (ou em um
> servidor). O que torna o XSS eu acho ainda mais perigoso que o BO em alguns
> casos é que os dados - que é o que você realmente quer proteger - podem
> estar muito mais facilmente acessíveis a partir do browser do usuário do que
> de uma aplicação nativa.
> >>>
> >>> BO da mesma forma podem precisar de um "gatilho", especialmente os que
> são no lado client (por exemplo, o usuário tem que abrir um arquivo com o
> Office). Nem por isso eles deixam de ser vulnerabilidades importantes.
> >>>
> >>> Abraços,
> >>>
> >>> - Fernando Cima
> >>>
> >>> -----Original Message-----
> >>> From: owasp-brazilian-bounces at lists.owasp.org [mailto:
> owasp-brazilian-bounces at lists.owasp.org] On Behalf Of Wagner Elias
> >>> Sent: segunda-feira, 11 de maio de 2009 19:05
> >>> To: Thiago Zaninotti
> >>> Cc: owasp-brazilian at lists.owasp.org
> >>> Subject: Re: [Owasp-brazilian] XSS é realmente uma vulnerabilidade?
> >>>
> >>> Ops... Eu não afirmo que XSS NÃO é uma vulnerabilidade, mas acho que é
> muito
> >>> estardalhaço por uma coisa que é um "gatilho".
> >>>
> >>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
> >>>> Oi Thiago,
> >>>>
> >>>> um BF está lá e vc pode explorar, o XSS além de ser um vetor (como o
> >>>> BF) ainda precisa de um agente pra explorar a falha.
> >>>>
> >>>> É o tipo de discussão filosófica, semântica, mas eu queria ouvir a
> >>>> opinião de todos.
> >>>>
> >>>> Eu não afirmo que XSS é uma vulnerabilidade, mas acho que é muito
> >>>> estardalhaço por uma coisa que é um "gatilho".
> >>>>
> >>>> Usando o BF como exemplo, se você encontra um BF e você não consegue
> >>>> trigar a falha, você considera como uma falha de segurança?
> >>>>
> >>>> Abs
> >>>>
> >>>> 2009/5/11 Thiago Zaninotti <thiago at zaninotti.net>:
> >>>>> Caro Wagner,
> >>>>>
> >>>>> Buffer overflow é uma vulnerabilidade? Uma vulnerabilidade pode muito
> >>>>> bem ser um vetor de exploração. Buffer overflow sozinho não
> representa
> >>>>> nada (a não ser a quebra do fluxo de execução ou invocação de um
> >>>>> exception handler) -- é necessário modificar o endereço de retorno,
> >>>>> ponteiro de função, estrutura de memória ou algum registrador
> >>>>> importante para que alguma coisa aconteça.
> >>>>>
> >>>>> Enfim, XSS é uma vulnerabilidade sim e sua criticidade pode variar de
> >>>>> acordo com a capacidade de se explorá-la (ex: sites que não possuem
> >>>>> sessão ou autenticação). O fato do agente explorado não ser
> >>>>> diretamente a aplicação afetada (mas sim o seu cliente), não isenta a
> >>>>> "classificação de vulnerabilidade".
> >>>>>
> >>>>> Abraços,
> >>>>>
> >>>>> Thiago Zaninotti,Security+,CISSP-ISSAP,CISM,CSSLP
> >>>>> Sr. InfoSec Professional
> >>>>>
> >>>>>
> >>>>>
> >>>>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
> >>>>>> Pessoal,
> >>>>>>
> >>>>>> por favor, evitem flames, pois eu sei muito bem o que é um XSS.
> >>>>>>
> >>>>>> O que eu questiono é, XSS sozinho faz alguma coisa?
> >>>>>>
> >>>>>> Na minha opinião não.
> >>>>>>
> >>>>>> XSS pra mim é um vetor, ele sempre irá ser meio para explorar alguma
> >>>>>> vulnerabilidade. Sem contar que o próprio XSS necessita da interação
> >>>>>> de um outro agente.
> >>>>>>
> >>>>>> O que acham?
> >>>>>>
> >>>>>> Abs.
> >>>>>> --
> >>>>>> --------------------------------
> >>>>>> Wagner Elias
> >>>>>> http://wagnerelias.com
> >>>>>> _______________________________________________
> >>>>>> Owasp-brazilian mailing list
> >>>>>> Owasp-brazilian at lists.owasp.org
> >>>>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >>>>>>
> >>>>>
> >>>>
> >>>>
> >>>>
> >>>> --
> >>>> --------------------------------
> >>>> Wagner Elias
> >>>> http://wagnerelias.com
> >>>>
> >>>
> >>>
> >>>
> >>> --
> >>> --------------------------------
> >>> Wagner Elias
> >>> http://wagnerelias.com
> >>> _______________________________________________
> >>> Owasp-brazilian mailing list
> >>> Owasp-brazilian at lists.owasp.org
> >>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >>>
> >>
> >>
> >>
> >> --
> >> --------------------------------
> >> Wagner Elias
> >> http://wagnerelias.com
> >> _______________________________________________
> >> Owasp-brazilian mailing list
> >> Owasp-brazilian at lists.owasp.org
> >> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >>
> >
> >
> >
> > --
> > If a tree falls in the forest and no one is around to see it, do the
> > other trees make fun of it?
> >
>
>
>
> --
> --------------------------------
> Wagner Elias
> http://wagnerelias.com
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20090511/11b79f87/attachment-0001.html 


More information about the Owasp-brazilian mailing list