[Owasp-brazilian] XSS é realmente uma vulnerabilidade?

Lucas Ferreira lucas.ferreira at gmail.com
Mon May 11 21:33:06 EDT 2009


Wagner,

discordo neste ponto. Qualquer script pode alterar o conteúdo da
página, mesmo que gerando um simples alert. Isso atenta contra a
integridade das informações. Voltando à definição: possibilita o
comprometimento da confidencialidade, integridade ou disponibilidade
de um ativo de informação."

Inté,

Lucas

2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
> Lucas,
>
> eu estou considerando o XSS apenas como vetor pelo simples fato, nem
> sempre um XSS vai resultar na exploração de uma aplicação.
>
> Se a aplicação não tiver nenhuma outra vulnerabilidade, o máximo que o
> explorador vai conseguir é um "alert".
>
> Nos exemplos citados, todos precisam explorar algo (uma falha de
> sessão, uma falha de configuração) se não houver nenhuma
> vulnerabilidade desta, o XSS vai ser só um "alert".
>
> Cima,
>
> Se o XSS explorar o Same Origin Policy e executa uma transação em meu
> nome ele é um CSRF não?
>
> Abs.
>
> 2009/5/11 Lucas Ferreira <lucas.ferreira at gmail.com>:
>> Wagner,
>>
>> o que você quer dizer com vetor? Pelo que entendi, você está
>> argumentando que o XSS só permite a inserção de um script e que quem
>> faz o trabalho sujo é o script. Entendi corretamente?
>>
>> Quanto à questão do agente, a definição da CisspBR
>> (http://tech.groups.yahoo.com/group/cisspBR/files/Definicoes/) diz:
>>
>> "As vulnerabilidades não provocam sozinhas os incidentes de segurança,
>> pois são elementos passivos,
>> sendo necessário a ação de um agente ou condição favorável."
>>
>> ou senão:
>>
>> "Vulnerabilidade é uma falha em um ponto de entrada que possibilita o
>> comprometimento da
>> confidencialidade, integridade ou disponibilidade de um ativo de informação."
>>
>> Relendo a definição, ainda acho que XSS é uma vulnerabilidade.
>>
>> Inté,
>>
>> Lucas
>>
>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
>>> Pessoal,
>>>
>>> o fato de precisar de um agente, eu concordo, isso não diminui a
>>> criticidade da vulnerabilidade que é explorada pelo XSS.
>>>
>>> Pegue todos os exemplos que deram, em todos os casos o XSS não foi só o vetor?
>>>
>>> Em alguma situação um XSS sem uma outra vulnerabilidade faz alguma coisa?
>>>
>>> Lembro, eu apenas quero estressar esta questão, eu sei exatamente o
>>> que um XSS pode fazer, porém tenho estas "dúvidas"...rs...
>>>
>>> Abs.
>>>
>>> 2009/5/11 Fernando Cima <fcima at microsoft.com>:
>>>> Oi Wagner,
>>>>
>>>> XSS é uma forma de você fazer com que código Javascript seja executado no browser de um usuário, da mesma forma que um BO é uma forma de você fazer com que código nativo seja executado na máquina do usuário (ou em um servidor). O que torna o XSS eu acho ainda mais perigoso que o BO em alguns casos é que os dados - que é o que você realmente quer proteger - podem estar muito mais facilmente acessíveis a partir do browser do usuário do que de uma aplicação nativa.
>>>>
>>>> BO da mesma forma podem precisar de um "gatilho", especialmente os que são no lado client (por exemplo, o usuário tem que abrir um arquivo com o Office). Nem por isso eles deixam de ser vulnerabilidades importantes.
>>>>
>>>> Abraços,
>>>>
>>>> - Fernando Cima
>>>>
>>>> -----Original Message-----
>>>> From: owasp-brazilian-bounces at lists.owasp.org [mailto:owasp-brazilian-bounces at lists.owasp.org] On Behalf Of Wagner Elias
>>>> Sent: segunda-feira, 11 de maio de 2009 19:05
>>>> To: Thiago Zaninotti
>>>> Cc: owasp-brazilian at lists.owasp.org
>>>> Subject: Re: [Owasp-brazilian] XSS é realmente uma vulnerabilidade?
>>>>
>>>> Ops... Eu não afirmo que XSS NÃO é uma vulnerabilidade, mas acho que é muito
>>>> estardalhaço por uma coisa que é um "gatilho".
>>>>
>>>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
>>>>> Oi Thiago,
>>>>>
>>>>> um BF está lá e vc pode explorar, o XSS além de ser um vetor (como o
>>>>> BF) ainda precisa de um agente pra explorar a falha.
>>>>>
>>>>> É o tipo de discussão filosófica, semântica, mas eu queria ouvir a
>>>>> opinião de todos.
>>>>>
>>>>> Eu não afirmo que XSS é uma vulnerabilidade, mas acho que é muito
>>>>> estardalhaço por uma coisa que é um "gatilho".
>>>>>
>>>>> Usando o BF como exemplo, se você encontra um BF e você não consegue
>>>>> trigar a falha, você considera como uma falha de segurança?
>>>>>
>>>>> Abs
>>>>>
>>>>> 2009/5/11 Thiago Zaninotti <thiago at zaninotti.net>:
>>>>>> Caro Wagner,
>>>>>>
>>>>>> Buffer overflow é uma vulnerabilidade? Uma vulnerabilidade pode muito
>>>>>> bem ser um vetor de exploração. Buffer overflow sozinho não representa
>>>>>> nada (a não ser a quebra do fluxo de execução ou invocação de um
>>>>>> exception handler) -- é necessário modificar o endereço de retorno,
>>>>>> ponteiro de função, estrutura de memória ou algum registrador
>>>>>> importante para que alguma coisa aconteça.
>>>>>>
>>>>>> Enfim, XSS é uma vulnerabilidade sim e sua criticidade pode variar de
>>>>>> acordo com a capacidade de se explorá-la (ex: sites que não possuem
>>>>>> sessão ou autenticação). O fato do agente explorado não ser
>>>>>> diretamente a aplicação afetada (mas sim o seu cliente), não isenta a
>>>>>> "classificação de vulnerabilidade".
>>>>>>
>>>>>> Abraços,
>>>>>>
>>>>>> Thiago Zaninotti,Security+,CISSP-ISSAP,CISM,CSSLP
>>>>>> Sr. InfoSec Professional
>>>>>>
>>>>>>
>>>>>>
>>>>>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
>>>>>>> Pessoal,
>>>>>>>
>>>>>>> por favor, evitem flames, pois eu sei muito bem o que é um XSS.
>>>>>>>
>>>>>>> O que eu questiono é, XSS sozinho faz alguma coisa?
>>>>>>>
>>>>>>> Na minha opinião não.
>>>>>>>
>>>>>>> XSS pra mim é um vetor, ele sempre irá ser meio para explorar alguma
>>>>>>> vulnerabilidade. Sem contar que o próprio XSS necessita da interação
>>>>>>> de um outro agente.
>>>>>>>
>>>>>>> O que acham?
>>>>>>>
>>>>>>> Abs.
>>>>>>> --
>>>>>>> --------------------------------
>>>>>>> Wagner Elias
>>>>>>> http://wagnerelias.com
>>>>>>> _______________________________________________
>>>>>>> Owasp-brazilian mailing list
>>>>>>> Owasp-brazilian at lists.owasp.org
>>>>>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>>>>>>
>>>>>>
>>>>>
>>>>>
>>>>>
>>>>> --
>>>>> --------------------------------
>>>>> Wagner Elias
>>>>> http://wagnerelias.com
>>>>>
>>>>
>>>>
>>>>
>>>> --
>>>> --------------------------------
>>>> Wagner Elias
>>>> http://wagnerelias.com
>>>> _______________________________________________
>>>> Owasp-brazilian mailing list
>>>> Owasp-brazilian at lists.owasp.org
>>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>>>
>>>
>>>
>>>
>>> --
>>> --------------------------------
>>> Wagner Elias
>>> http://wagnerelias.com
>>> _______________________________________________
>>> Owasp-brazilian mailing list
>>> Owasp-brazilian at lists.owasp.org
>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>>
>>
>>
>>
>> --
>> If a tree falls in the forest and no one is around to see it, do the
>> other trees make fun of it?
>>
>
>
>
> --
> --------------------------------
> Wagner Elias
> http://wagnerelias.com
>



-- 
If a tree falls in the forest and no one is around to see it, do the
other trees make fun of it?


More information about the Owasp-brazilian mailing list