[Owasp-brazilian] XSS é realmente uma vulnerabilidade?

Wagner Elias wagner.elias at gmail.com
Tue May 12 16:08:24 EDT 2009


Oi Thiago,

me dá um exemplo de defacement com apenas um XSS.

Abs.

2009/5/11 Thiago Lechuga <thiagoalz at gmail.com>:
> Se tiver so um XSS o cara ja pode fazer um deface! Isso já nao classifica
> ele como uma falha?
> []s,
>
> Thiago Alvarenga Lechuga
> (19)9153-3822
>
> Página Pessoal:
> http://thiagoalz.googlepages.com/home
>
> ===Knowledge is only useful if you can share it.===
>
>
> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>
>>
>> Lucas,
>>
>> eu estou considerando o XSS apenas como vetor pelo simples fato, nem
>> sempre um XSS vai resultar na exploração de uma aplicação.
>>
>> Se a aplicação não tiver nenhuma outra vulnerabilidade, o máximo que o
>> explorador vai conseguir é um "alert".
>>
>> Nos exemplos citados, todos precisam explorar algo (uma falha de
>> sessão, uma falha de configuração) se não houver nenhuma
>> vulnerabilidade desta, o XSS vai ser só um "alert".
>>
>> Cima,
>>
>> Se o XSS explorar o Same Origin Policy e executa uma transação em meu
>> nome ele é um CSRF não?
>>
>> Abs.
>>
>> 2009/5/11 Lucas Ferreira <lucas.ferreira at gmail.com>:
>> > Wagner,
>> >
>> > o que você quer dizer com vetor? Pelo que entendi, você está
>> > argumentando que o XSS só permite a inserção de um script e que quem
>> > faz o trabalho sujo é o script. Entendi corretamente?
>> >
>> > Quanto à questão do agente, a definição da CisspBR
>> > (http://tech.groups.yahoo.com/group/cisspBR/files/Definicoes/) diz:
>> >
>> > "As vulnerabilidades não provocam sozinhas os incidentes de segurança,
>> > pois são elementos passivos,
>> > sendo necessário a ação de um agente ou condição favorável."
>> >
>> > ou senão:
>> >
>> > "Vulnerabilidade é uma falha em um ponto de entrada que possibilita o
>> > comprometimento da
>> > confidencialidade, integridade ou disponibilidade de um ativo de
>> > informação."
>> >
>> > Relendo a definição, ainda acho que XSS é uma vulnerabilidade.
>> >
>> > Inté,
>> >
>> > Lucas
>> >
>> > 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
>> >> Pessoal,
>> >>
>> >> o fato de precisar de um agente, eu concordo, isso não diminui a
>> >> criticidade da vulnerabilidade que é explorada pelo XSS.
>> >>
>> >> Pegue todos os exemplos que deram, em todos os casos o XSS não foi só o
>> >> vetor?
>> >>
>> >> Em alguma situação um XSS sem uma outra vulnerabilidade faz alguma
>> >> coisa?
>> >>
>> >> Lembro, eu apenas quero estressar esta questão, eu sei exatamente o
>> >> que um XSS pode fazer, porém tenho estas "dúvidas"...rs...
>> >>
>> >> Abs.
>> >>
>> >> 2009/5/11 Fernando Cima <fcima at microsoft.com>:
>> >>> Oi Wagner,
>> >>>
>> >>> XSS é uma forma de você fazer com que código Javascript seja executado
>> >>> no browser de um usuário, da mesma forma que um BO é uma forma de você fazer
>> >>> com que código nativo seja executado na máquina do usuário (ou em um
>> >>> servidor). O que torna o XSS eu acho ainda mais perigoso que o BO em alguns
>> >>> casos é que os dados - que é o que você realmente quer proteger - podem
>> >>> estar muito mais facilmente acessíveis a partir do browser do usuário do que
>> >>> de uma aplicação nativa.
>> >>>
>> >>> BO da mesma forma podem precisar de um "gatilho", especialmente os que
>> >>> são no lado client (por exemplo, o usuário tem que abrir um arquivo com o
>> >>> Office). Nem por isso eles deixam de ser vulnerabilidades importantes.
>> >>>
>> >>> Abraços,
>> >>>
>> >>> - Fernando Cima
>> >>>
>> >>> -----Original Message-----
>> >>> From: owasp-brazilian-bounces at lists.owasp.org
>> >>> [mailto:owasp-brazilian-bounces at lists.owasp.org] On Behalf Of Wagner Elias
>> >>> Sent: segunda-feira, 11 de maio de 2009 19:05
>> >>> To: Thiago Zaninotti
>> >>> Cc: owasp-brazilian at lists.owasp.org
>> >>> Subject: Re: [Owasp-brazilian] XSS é realmente uma vulnerabilidade?
>> >>>
>> >>> Ops... Eu não afirmo que XSS NÃO é uma vulnerabilidade, mas acho que é
>> >>> muito
>> >>> estardalhaço por uma coisa que é um "gatilho".
>> >>>
>> >>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
>> >>>> Oi Thiago,
>> >>>>
>> >>>> um BF está lá e vc pode explorar, o XSS além de ser um vetor (como o
>> >>>> BF) ainda precisa de um agente pra explorar a falha.
>> >>>>
>> >>>> É o tipo de discussão filosófica, semântica, mas eu queria ouvir a
>> >>>> opinião de todos.
>> >>>>
>> >>>> Eu não afirmo que XSS é uma vulnerabilidade, mas acho que é muito
>> >>>> estardalhaço por uma coisa que é um "gatilho".
>> >>>>
>> >>>> Usando o BF como exemplo, se você encontra um BF e você não consegue
>> >>>> trigar a falha, você considera como uma falha de segurança?
>> >>>>
>> >>>> Abs
>> >>>>
>> >>>> 2009/5/11 Thiago Zaninotti <thiago at zaninotti.net>:
>> >>>>> Caro Wagner,
>> >>>>>
>> >>>>> Buffer overflow é uma vulnerabilidade? Uma vulnerabilidade pode
>> >>>>> muito
>> >>>>> bem ser um vetor de exploração. Buffer overflow sozinho não
>> >>>>> representa
>> >>>>> nada (a não ser a quebra do fluxo de execução ou invocação de um
>> >>>>> exception handler) -- é necessário modificar o endereço de retorno,
>> >>>>> ponteiro de função, estrutura de memória ou algum registrador
>> >>>>> importante para que alguma coisa aconteça.
>> >>>>>
>> >>>>> Enfim, XSS é uma vulnerabilidade sim e sua criticidade pode variar
>> >>>>> de
>> >>>>> acordo com a capacidade de se explorá-la (ex: sites que não possuem
>> >>>>> sessão ou autenticação). O fato do agente explorado não ser
>> >>>>> diretamente a aplicação afetada (mas sim o seu cliente), não isenta
>> >>>>> a
>> >>>>> "classificação de vulnerabilidade".
>> >>>>>
>> >>>>> Abraços,
>> >>>>>
>> >>>>> Thiago Zaninotti,Security+,CISSP-ISSAP,CISM,CSSLP
>> >>>>> Sr. InfoSec Professional
>> >>>>>
>> >>>>>
>> >>>>>
>> >>>>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
>> >>>>>> Pessoal,
>> >>>>>>
>> >>>>>> por favor, evitem flames, pois eu sei muito bem o que é um XSS.
>> >>>>>>
>> >>>>>> O que eu questiono é, XSS sozinho faz alguma coisa?
>> >>>>>>
>> >>>>>> Na minha opinião não.
>> >>>>>>
>> >>>>>> XSS pra mim é um vetor, ele sempre irá ser meio para explorar
>> >>>>>> alguma
>> >>>>>> vulnerabilidade. Sem contar que o próprio XSS necessita da
>> >>>>>> interação
>> >>>>>> de um outro agente.
>> >>>>>>
>> >>>>>> O que acham?
>> >>>>>>
>> >>>>>> Abs.
>> >>>>>> --
>> >>>>>> --------------------------------
>> >>>>>> Wagner Elias
>> >>>>>> http://wagnerelias.com
>> >>>>>> _______________________________________________
>> >>>>>> Owasp-brazilian mailing list
>> >>>>>> Owasp-brazilian at lists.owasp.org
>> >>>>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>> >>>>>>
>> >>>>>
>> >>>>
>> >>>>
>> >>>>
>> >>>> --
>> >>>> --------------------------------
>> >>>> Wagner Elias
>> >>>> http://wagnerelias.com
>> >>>>
>> >>>
>> >>>
>> >>>
>> >>> --
>> >>> --------------------------------
>> >>> Wagner Elias
>> >>> http://wagnerelias.com
>> >>> _______________________________________________
>> >>> Owasp-brazilian mailing list
>> >>> Owasp-brazilian at lists.owasp.org
>> >>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>> >>>
>> >>
>> >>
>> >>
>> >> --
>> >> --------------------------------
>> >> Wagner Elias
>> >> http://wagnerelias.com
>> >> _______________________________________________
>> >> Owasp-brazilian mailing list
>> >> Owasp-brazilian at lists.owasp.org
>> >> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>> >>
>> >
>> >
>> >
>> > --
>> > If a tree falls in the forest and no one is around to see it, do the
>> > other trees make fun of it?
>> >
>>
>>
>>
>> --
>> --------------------------------
>> Wagner Elias
>> http://wagnerelias.com
>> _______________________________________________
>> Owasp-brazilian mailing list
>> Owasp-brazilian at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
>



-- 
--------------------------------
Wagner Elias
http://wagnerelias.com


More information about the Owasp-brazilian mailing list