[Owasp-brazilian] XSS é realmente uma vulnerabilidade?

Fernando Cima fcima at microsoft.com
Mon May 11 21:23:44 EDT 2009


Oi Wagner,

Não é necessariamente um CSRF, porque não precisa estar forjando um request ao site original em seu nome para fazer um ataque (p.ex. no caso do roubo de um cookie de sessão).

Abraços,

- Fernando Cima

-----Original Message-----
From: Wagner Elias [mailto:wagner.elias at gmail.com] 
Sent: segunda-feira, 11 de maio de 2009 22:15
To: Lucas Ferreira
Cc: Fernando Cima; owasp-brazilian at lists.owasp.org
Subject: Re: [Owasp-brazilian] XSS é realmente uma vulnerabilidade?

Lucas,

eu estou considerando o XSS apenas como vetor pelo simples fato, nem
sempre um XSS vai resultar na exploração de uma aplicação.

Se a aplicação não tiver nenhuma outra vulnerabilidade, o máximo que o
explorador vai conseguir é um "alert".

Nos exemplos citados, todos precisam explorar algo (uma falha de
sessão, uma falha de configuração) se não houver nenhuma
vulnerabilidade desta, o XSS vai ser só um "alert".

Cima,

Se o XSS explorar o Same Origin Policy e executa uma transação em meu
nome ele é um CSRF não?

Abs.

2009/5/11 Lucas Ferreira <lucas.ferreira at gmail.com>:
> Wagner,
>
> o que você quer dizer com vetor? Pelo que entendi, você está
> argumentando que o XSS só permite a inserção de um script e que quem
> faz o trabalho sujo é o script. Entendi corretamente?
>
> Quanto à questão do agente, a definição da CisspBR
> (http://tech.groups.yahoo.com/group/cisspBR/files/Definicoes/) diz:
>
> "As vulnerabilidades não provocam sozinhas os incidentes de segurança,
> pois são elementos passivos,
> sendo necessário a ação de um agente ou condição favorável."
>
> ou senão:
>
> "Vulnerabilidade é uma falha em um ponto de entrada que possibilita o
> comprometimento da
> confidencialidade, integridade ou disponibilidade de um ativo de informação."
>
> Relendo a definição, ainda acho que XSS é uma vulnerabilidade.
>
> Inté,
>
> Lucas
>
> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
>> Pessoal,
>>
>> o fato de precisar de um agente, eu concordo, isso não diminui a
>> criticidade da vulnerabilidade que é explorada pelo XSS.
>>
>> Pegue todos os exemplos que deram, em todos os casos o XSS não foi só o vetor?
>>
>> Em alguma situação um XSS sem uma outra vulnerabilidade faz alguma coisa?
>>
>> Lembro, eu apenas quero estressar esta questão, eu sei exatamente o
>> que um XSS pode fazer, porém tenho estas "dúvidas"...rs...
>>
>> Abs.
>>
>> 2009/5/11 Fernando Cima <fcima at microsoft.com>:
>>> Oi Wagner,
>>>
>>> XSS é uma forma de você fazer com que código Javascript seja executado no browser de um usuário, da mesma forma que um BO é uma forma de você fazer com que código nativo seja executado na máquina do usuário (ou em um servidor). O que torna o XSS eu acho ainda mais perigoso que o BO em alguns casos é que os dados - que é o que você realmente quer proteger - podem estar muito mais facilmente acessíveis a partir do browser do usuário do que de uma aplicação nativa.
>>>
>>> BO da mesma forma podem precisar de um "gatilho", especialmente os que são no lado client (por exemplo, o usuário tem que abrir um arquivo com o Office). Nem por isso eles deixam de ser vulnerabilidades importantes.
>>>
>>> Abraços,
>>>
>>> - Fernando Cima
>>>
>>> -----Original Message-----
>>> From: owasp-brazilian-bounces at lists.owasp.org [mailto:owasp-brazilian-bounces at lists.owasp.org] On Behalf Of Wagner Elias
>>> Sent: segunda-feira, 11 de maio de 2009 19:05
>>> To: Thiago Zaninotti
>>> Cc: owasp-brazilian at lists.owasp.org
>>> Subject: Re: [Owasp-brazilian] XSS é realmente uma vulnerabilidade?
>>>
>>> Ops... Eu não afirmo que XSS NÃO é uma vulnerabilidade, mas acho que é muito
>>> estardalhaço por uma coisa que é um "gatilho".
>>>
>>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
>>>> Oi Thiago,
>>>>
>>>> um BF está lá e vc pode explorar, o XSS além de ser um vetor (como o
>>>> BF) ainda precisa de um agente pra explorar a falha.
>>>>
>>>> É o tipo de discussão filosófica, semântica, mas eu queria ouvir a
>>>> opinião de todos.
>>>>
>>>> Eu não afirmo que XSS é uma vulnerabilidade, mas acho que é muito
>>>> estardalhaço por uma coisa que é um "gatilho".
>>>>
>>>> Usando o BF como exemplo, se você encontra um BF e você não consegue
>>>> trigar a falha, você considera como uma falha de segurança?
>>>>
>>>> Abs
>>>>
>>>> 2009/5/11 Thiago Zaninotti <thiago at zaninotti.net>:
>>>>> Caro Wagner,
>>>>>
>>>>> Buffer overflow é uma vulnerabilidade? Uma vulnerabilidade pode muito
>>>>> bem ser um vetor de exploração. Buffer overflow sozinho não representa
>>>>> nada (a não ser a quebra do fluxo de execução ou invocação de um
>>>>> exception handler) -- é necessário modificar o endereço de retorno,
>>>>> ponteiro de função, estrutura de memória ou algum registrador
>>>>> importante para que alguma coisa aconteça.
>>>>>
>>>>> Enfim, XSS é uma vulnerabilidade sim e sua criticidade pode variar de
>>>>> acordo com a capacidade de se explorá-la (ex: sites que não possuem
>>>>> sessão ou autenticação). O fato do agente explorado não ser
>>>>> diretamente a aplicação afetada (mas sim o seu cliente), não isenta a
>>>>> "classificação de vulnerabilidade".
>>>>>
>>>>> Abraços,
>>>>>
>>>>> Thiago Zaninotti,Security+,CISSP-ISSAP,CISM,CSSLP
>>>>> Sr. InfoSec Professional
>>>>>
>>>>>
>>>>>
>>>>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
>>>>>> Pessoal,
>>>>>>
>>>>>> por favor, evitem flames, pois eu sei muito bem o que é um XSS.
>>>>>>
>>>>>> O que eu questiono é, XSS sozinho faz alguma coisa?
>>>>>>
>>>>>> Na minha opinião não.
>>>>>>
>>>>>> XSS pra mim é um vetor, ele sempre irá ser meio para explorar alguma
>>>>>> vulnerabilidade. Sem contar que o próprio XSS necessita da interação
>>>>>> de um outro agente.
>>>>>>
>>>>>> O que acham?
>>>>>>
>>>>>> Abs.
>>>>>> --
>>>>>> --------------------------------
>>>>>> Wagner Elias
>>>>>> http://wagnerelias.com
>>>>>> _______________________________________________
>>>>>> Owasp-brazilian mailing list
>>>>>> Owasp-brazilian at lists.owasp.org
>>>>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>>>>>
>>>>>
>>>>
>>>>
>>>>
>>>> --
>>>> --------------------------------
>>>> Wagner Elias
>>>> http://wagnerelias.com
>>>>
>>>
>>>
>>>
>>> --
>>> --------------------------------
>>> Wagner Elias
>>> http://wagnerelias.com
>>> _______________________________________________
>>> Owasp-brazilian mailing list
>>> Owasp-brazilian at lists.owasp.org
>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>>
>>
>>
>>
>> --
>> --------------------------------
>> Wagner Elias
>> http://wagnerelias.com
>> _______________________________________________
>> Owasp-brazilian mailing list
>> Owasp-brazilian at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>
>
>
>
> --
> If a tree falls in the forest and no one is around to see it, do the
> other trees make fun of it?
>



-- 
--------------------------------
Wagner Elias
http://wagnerelias.com



More information about the Owasp-brazilian mailing list