[Owasp-brazilian] XSS é realmente uma vulnerabilidade?

Leonardo Buonsanti leonardo.buonsanti at gmail.com
Tue May 12 01:46:13 EDT 2009


Olá, aí vão meus cents.

O ataque de XSS que gera só um alert, é o reflected, pois só aparece alí na
hora pro usuário, ele tira um print todo feliz e reporta pro xssed.com. Quem
der uma vasculhada verá que não são somente alerts que são gerados, mas
header são modificados/inputados, marquees adicionados, e o que a mente
criativa do atacante permitir.

Já o que causa problemas maiores é o ataque chamado persistente, tal como
quando alguém inputa um script num myspace da vida e cria o samy worm. Óbvio
que não foi só isso o ataque na ocasião, mas em tese, tudo começou pq o Samy
soube manipular de forma excepcionalmente engenhosa as tags que o myspace
aceitava.

Aí que vem a questão. O fato do myspace aceitar tags e executar comandos, é
um XSS, e quando todo mundo começou a adicionar ele como amigo sem saber,
foi um CSRF, certo?. Então nesse caso o XSS foi uma vulnerabilidade que
levou à outra, ou seja, um vetor.

Minha opinião, se o site executa comandos simples como
<script>alert('XSS')</script>, ele está vulnerável a XSS, do tipo reflected,
no mínimo. O que faz do XSS, uma vulnerabilidade. Caso o problema seja
maior, ele pode ser um vetor, que levaria a um CSRF, por exemplo.

http://shiflett.org/blog/2005/oct/myspace-csrf-and-xss-worm-samy -> Post
legal sobre o caso.

Eu creio ser até sadio de um ponto de vista de segurança, considerar XSS uma
vulnerabilidade, devido a gama de ataques que ele possibilita.

Daí surge uma outra questão, XSS e CSRF são a mesma coisa?

Aí eu achei isso:

Is CSRF and Cross-site Scripting the same thing?

Cross-Site Scripting exploits the trust that a client has for the website or
application. Users generally trust that the content displayed in their
browsers was intended to be displayed by the website being viewed. The
website assumes that if an 'action request' was performed, that this is what
the user wanted and happily performs it. CSRF exploits the trust that a site
has for the user.

Ou seja, no XSS o explorado é o usuário, e no CSRF a explorada é a
aplicação. O que eu entendo que reforça o fato de XSS ser uma
vulnerabilidade TAMBÉM, não só um vetor, já que um atacante ao ver que um
site é passível de XSS, ele pode elaborar um CSRF.

Ou eu viajei demais? Sabe como é, 15 pras 3 da matina... XD

Abs.
2009/5/11 Thiago Zaninotti <thiago at zaninotti.net>

> Wagner,
>
> > eu estou considerando o XSS apenas como vetor pelo simples fato, nem
> > sempre um XSS vai resultar na exploração de uma aplicação.
> >
> > Se a aplicação não tiver nenhuma outra vulnerabilidade, o máximo que o
> > explorador vai conseguir é um "alert".
> >
> > Nos exemplos citados, todos precisam explorar algo (uma falha de
> > sessão, uma falha de configuração) se não houver nenhuma
> > vulnerabilidade desta, o XSS vai ser só um "alert".
>
> Acho que você está confundindo as bolas :)
>
> - O XSS é uma vulnerabilidade por si só -- uma falha que permite o
> acesso arbitrário ao Document Object Model (DOM) de uma página que
> está em um domínio de segurança externo e "supostamente" protegido;
> - O XSS não precisa de outra vulnerabilidade para ser explorado. Eu
> posso injetar um script que vai emular um "formulário de autenticação"
> no lugar do formulário correto, permitindo que eu capture as sessões
> válidas. Principalmente em aplicações que já adotem práticas razoáveis
> de segurança (mas não tenham filtrado XSS);
> - Em todos os exemplos citados, o XSS é um vetor de exploração viável
> (não precisa de uma falha de sessão nem configuração) -- posso
> utilizar o melhor mecanismo de sessão e ter uma entropia razoável --
> ainda assim vou ser suscetível aos males do XSS.
>
> Abraços,
>
> Thiago Zaninotti,Security+,CISSP-ISSAP,CISM,CSSLP
> Sr. InfoSec Professional
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>



-- 
Leonardo Buonsanti
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20090512/3d696382/attachment.html 


More information about the Owasp-brazilian mailing list