[Owasp-brazilian] XSS é realmente uma vulnerabilidade?

Thiago Zaninotti thiago at zaninotti.net
Mon May 11 21:31:52 EDT 2009


> - Defacement é um tipo de ataque que explora uma vulnerabilidade XSS;

"Defacement" contra uma aplicação web é um ataque que modifica o
conteúdo original da aplicação de forma persistente. Um defacement
pode ser o resultado de qualquer tipo de ataque que permita acesso de
escrita à raiz ou conteúdo da aplicação web (ex: rpc.mountd permitindo
que everyone monte o diretório raíz ou acesso guest de ftp).

XSS só gera um defacement quando for um ataque persistente (por
exemplo um fórum que permita XSS em seus posts).

> - Ataques que exploram uma vulnerabilidade CSRF frequentemente também
> exploram uma vulnerabilidade XSS.

Nem sempre. Muitos "clickjacking" e CSRF estão escondidos em páginas
html ad-hoc (lembre os últimos ataques contra o twitter) que não
precisam estar em domínios de confiança do usuário (basta
renderizá-los de qualquer outro domínio).

[]s

Thiago Zaninotti,Security+,CISSP-ISSAP,CISM,CSSLP
Sr. InfoSec Professional



2009/5/11 Er Galvao Abbott <galvao at galvao.eti.br>:
> Wagner:
>
> Antes de mais nada parabéns pela pergunta: acho bacana esse tipo de
> questionamento, tipo "Tá, dizem que é assim, mas por que é assim?".
> Na minha opinião XSS é uma vulnerabilidade sim. No meu entendimento
> (posso estar errado, porque nessa parte toda de teoria eu sou muito
> novato, se estiver por favor me corrijam):
>
> - Defacement é um tipo de ataque que explora uma vulnerabilidade XSS;
> - Phishing é um tipo de ataque que pode explorar uma vulnerabilidade XSS;
> - Ataques que exploram uma vulnerabilidade CSRF frequentemente também
> exploram uma vulnerabilidade XSS.
>
> Alguns desses pontos eu inclusive comento na apostila do curso Top 10
> OWASP com PHP que ministrei recentemente (e que pode ser visualizada no
> meu SlideSpace: http://www.slideshare.net/ergalvao).
>
> Concordam?
>
> Galvão
> http://www.galvao.eti.br/
>
> Wagner Elias wrote:
>> Pessoal,
>>
>> o fato de precisar de um agente, eu concordo, isso não diminui a
>> criticidade da vulnerabilidade que é explorada pelo XSS.
>>
>> Pegue todos os exemplos que deram, em todos os casos o XSS não foi só o vetor?
>>
>> Em alguma situação um XSS sem uma outra vulnerabilidade faz alguma coisa?
>>
>> Lembro, eu apenas quero estressar esta questão, eu sei exatamente o
>> que um XSS pode fazer, porém tenho estas "dúvidas"...rs...
>>
>> Abs.
>>
>> 2009/5/11 Fernando Cima <fcima at microsoft.com>:
>>
>>> Oi Wagner,
>>>
>>> XSS é uma forma de você fazer com que código Javascript seja executado no browser de um usuário, da mesma forma que um BO é uma forma de você fazer com que código nativo seja executado na máquina do usuário (ou em um servidor). O que torna o XSS eu acho ainda mais perigoso que o BO em alguns casos é que os dados - que é o que você realmente quer proteger - podem estar muito mais facilmente acessíveis a partir do browser do usuário do que de uma aplicação nativa.
>>>
>>> BO da mesma forma podem precisar de um "gatilho", especialmente os que são no lado client (por exemplo, o usuário tem que abrir um arquivo com o Office). Nem por isso eles deixam de ser vulnerabilidades importantes.
>>>
>>> Abraços,
>>>
>>> - Fernando Cima
>>>
>>> -----Original Message-----
>>> From: owasp-brazilian-bounces at lists.owasp.org [mailto:owasp-brazilian-bounces at lists.owasp.org] On Behalf Of Wagner Elias
>>> Sent: segunda-feira, 11 de maio de 2009 19:05
>>> To: Thiago Zaninotti
>>> Cc: owasp-brazilian at lists.owasp.org
>>> Subject: Re: [Owasp-brazilian] XSS é realmente uma vulnerabilidade?
>>>
>>> Ops... Eu não afirmo que XSS NÃO é uma vulnerabilidade, mas acho que é muito
>>> estardalhaço por uma coisa que é um "gatilho".
>>>
>>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
>>>
>>>> Oi Thiago,
>>>>
>>>> um BF está lá e vc pode explorar, o XSS além de ser um vetor (como o
>>>> BF) ainda precisa de um agente pra explorar a falha.
>>>>
>>>> É o tipo de discussão filosófica, semântica, mas eu queria ouvir a
>>>> opinião de todos.
>>>>
>>>> Eu não afirmo que XSS é uma vulnerabilidade, mas acho que é muito
>>>> estardalhaço por uma coisa que é um "gatilho".
>>>>
>>>> Usando o BF como exemplo, se você encontra um BF e você não consegue
>>>> trigar a falha, você considera como uma falha de segurança?
>>>>
>>>> Abs
>>>>
>>>> 2009/5/11 Thiago Zaninotti <thiago at zaninotti.net>:
>>>>
>>>>> Caro Wagner,
>>>>>
>>>>> Buffer overflow é uma vulnerabilidade? Uma vulnerabilidade pode muito
>>>>> bem ser um vetor de exploração. Buffer overflow sozinho não representa
>>>>> nada (a não ser a quebra do fluxo de execução ou invocação de um
>>>>> exception handler) -- é necessário modificar o endereço de retorno,
>>>>> ponteiro de função, estrutura de memória ou algum registrador
>>>>> importante para que alguma coisa aconteça.
>>>>>
>>>>> Enfim, XSS é uma vulnerabilidade sim e sua criticidade pode variar de
>>>>> acordo com a capacidade de se explorá-la (ex: sites que não possuem
>>>>> sessão ou autenticação). O fato do agente explorado não ser
>>>>> diretamente a aplicação afetada (mas sim o seu cliente), não isenta a
>>>>> "classificação de vulnerabilidade".
>>>>>
>>>>> Abraços,
>>>>>
>>>>> Thiago Zaninotti,Security+,CISSP-ISSAP,CISM,CSSLP
>>>>> Sr. InfoSec Professional
>>>>>
>>>>>
>>>>>
>>>>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
>>>>>
>>>>>> Pessoal,
>>>>>>
>>>>>> por favor, evitem flames, pois eu sei muito bem o que é um XSS.
>>>>>>
>>>>>> O que eu questiono é, XSS sozinho faz alguma coisa?
>>>>>>
>>>>>> Na minha opinião não.
>>>>>>
>>>>>> XSS pra mim é um vetor, ele sempre irá ser meio para explorar alguma
>>>>>> vulnerabilidade. Sem contar que o próprio XSS necessita da interação
>>>>>> de um outro agente.
>>>>>>
>>>>>> O que acham?
>>>>>>
>>>>>> Abs.
>>>>>> --
>>>>>> --------------------------------
>>>>>> Wagner Elias
>>>>>> http://wagnerelias.com
>>>>>> _______________________________________________
>>>>>> Owasp-brazilian mailing list
>>>>>> Owasp-brazilian at lists.owasp.org
>>>>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>>>>>
>>>>>>
>>>>
>>>> --
>>>> --------------------------------
>>>> Wagner Elias
>>>> http://wagnerelias.com
>>>>
>>>>
>>>
>>> --
>>> --------------------------------
>>> Wagner Elias
>>> http://wagnerelias.com
>>> _______________________________________________
>>> Owasp-brazilian mailing list
>>> Owasp-brazilian at lists.owasp.org
>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>>
>>>
>>
>>
>>
>>
>
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>


More information about the Owasp-brazilian mailing list