[Owasp-brazilian] XSS é realmente uma vulnerabilidade?

Maycon Vitali mayconuvv at gmail.com
Tue May 12 16:12:54 EDT 2009


<script>document.body.innerHTML='<h1 align="center">h4ck3r by
0ut0fBound</h1>';</script>

___
Maycon Maia Vitali ( 0ut0fBound )
http://maycon.hacknroll.com/
http://blog.hacknroll.com/
Hack'n Roll

2009/5/12 Wagner Elias <wagner.elias at gmail.com>

> Oi Thiago,
>
> me dá um exemplo de defacement com apenas um XSS.
>
> Abs.
>
> 2009/5/11 Thiago Lechuga <thiagoalz at gmail.com>:
> > Se tiver so um XSS o cara ja pode fazer um deface! Isso já nao classifica
> > ele como uma falha?
> > []s,
> >
> > Thiago Alvarenga Lechuga
> > (19)9153-3822
> >
> > Página Pessoal:
> > http://thiagoalz.googlepages.com/home
> >
> > ===Knowledge is only useful if you can share it.===
> >
> >
> > 2009/5/11 Wagner Elias <wagner.elias at gmail.com>
> >>
> >> Lucas,
> >>
> >> eu estou considerando o XSS apenas como vetor pelo simples fato, nem
> >> sempre um XSS vai resultar na exploração de uma aplicação.
> >>
> >> Se a aplicação não tiver nenhuma outra vulnerabilidade, o máximo que o
> >> explorador vai conseguir é um "alert".
> >>
> >> Nos exemplos citados, todos precisam explorar algo (uma falha de
> >> sessão, uma falha de configuração) se não houver nenhuma
> >> vulnerabilidade desta, o XSS vai ser só um "alert".
> >>
> >> Cima,
> >>
> >> Se o XSS explorar o Same Origin Policy e executa uma transação em meu
> >> nome ele é um CSRF não?
> >>
> >> Abs.
> >>
> >> 2009/5/11 Lucas Ferreira <lucas.ferreira at gmail.com>:
> >> > Wagner,
> >> >
> >> > o que você quer dizer com vetor? Pelo que entendi, você está
> >> > argumentando que o XSS só permite a inserção de um script e que quem
> >> > faz o trabalho sujo é o script. Entendi corretamente?
> >> >
> >> > Quanto à questão do agente, a definição da CisspBR
> >> > (http://tech.groups.yahoo.com/group/cisspBR/files/Definicoes/) diz:
> >> >
> >> > "As vulnerabilidades não provocam sozinhas os incidentes de segurança,
> >> > pois são elementos passivos,
> >> > sendo necessário a ação de um agente ou condição favorável."
> >> >
> >> > ou senão:
> >> >
> >> > "Vulnerabilidade é uma falha em um ponto de entrada que possibilita o
> >> > comprometimento da
> >> > confidencialidade, integridade ou disponibilidade de um ativo de
> >> > informação."
> >> >
> >> > Relendo a definição, ainda acho que XSS é uma vulnerabilidade.
> >> >
> >> > Inté,
> >> >
> >> > Lucas
> >> >
> >> > 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
> >> >> Pessoal,
> >> >>
> >> >> o fato de precisar de um agente, eu concordo, isso não diminui a
> >> >> criticidade da vulnerabilidade que é explorada pelo XSS.
> >> >>
> >> >> Pegue todos os exemplos que deram, em todos os casos o XSS não foi só
> o
> >> >> vetor?
> >> >>
> >> >> Em alguma situação um XSS sem uma outra vulnerabilidade faz alguma
> >> >> coisa?
> >> >>
> >> >> Lembro, eu apenas quero estressar esta questão, eu sei exatamente o
> >> >> que um XSS pode fazer, porém tenho estas "dúvidas"...rs...
> >> >>
> >> >> Abs.
> >> >>
> >> >> 2009/5/11 Fernando Cima <fcima at microsoft.com>:
> >> >>> Oi Wagner,
> >> >>>
> >> >>> XSS é uma forma de você fazer com que código Javascript seja
> executado
> >> >>> no browser de um usuário, da mesma forma que um BO é uma forma de
> você fazer
> >> >>> com que código nativo seja executado na máquina do usuário (ou em um
> >> >>> servidor). O que torna o XSS eu acho ainda mais perigoso que o BO em
> alguns
> >> >>> casos é que os dados - que é o que você realmente quer proteger -
> podem
> >> >>> estar muito mais facilmente acessíveis a partir do browser do
> usuário do que
> >> >>> de uma aplicação nativa.
> >> >>>
> >> >>> BO da mesma forma podem precisar de um "gatilho", especialmente os
> que
> >> >>> são no lado client (por exemplo, o usuário tem que abrir um arquivo
> com o
> >> >>> Office). Nem por isso eles deixam de ser vulnerabilidades
> importantes.
> >> >>>
> >> >>> Abraços,
> >> >>>
> >> >>> - Fernando Cima
> >> >>>
> >> >>> -----Original Message-----
> >> >>> From: owasp-brazilian-bounces at lists.owasp.org
> >> >>> [mailto:owasp-brazilian-bounces at lists.owasp.org] On Behalf Of
> Wagner Elias
> >> >>> Sent: segunda-feira, 11 de maio de 2009 19:05
> >> >>> To: Thiago Zaninotti
> >> >>> Cc: owasp-brazilian at lists.owasp.org
> >> >>> Subject: Re: [Owasp-brazilian] XSS é realmente uma vulnerabilidade?
> >> >>>
> >> >>> Ops... Eu não afirmo que XSS NÃO é uma vulnerabilidade, mas acho que
> é
> >> >>> muito
> >> >>> estardalhaço por uma coisa que é um "gatilho".
> >> >>>
> >> >>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
> >> >>>> Oi Thiago,
> >> >>>>
> >> >>>> um BF está lá e vc pode explorar, o XSS além de ser um vetor (como
> o
> >> >>>> BF) ainda precisa de um agente pra explorar a falha.
> >> >>>>
> >> >>>> É o tipo de discussão filosófica, semântica, mas eu queria ouvir a
> >> >>>> opinião de todos.
> >> >>>>
> >> >>>> Eu não afirmo que XSS é uma vulnerabilidade, mas acho que é muito
> >> >>>> estardalhaço por uma coisa que é um "gatilho".
> >> >>>>
> >> >>>> Usando o BF como exemplo, se você encontra um BF e você não
> consegue
> >> >>>> trigar a falha, você considera como uma falha de segurança?
> >> >>>>
> >> >>>> Abs
> >> >>>>
> >> >>>> 2009/5/11 Thiago Zaninotti <thiago at zaninotti.net>:
> >> >>>>> Caro Wagner,
> >> >>>>>
> >> >>>>> Buffer overflow é uma vulnerabilidade? Uma vulnerabilidade pode
> >> >>>>> muito
> >> >>>>> bem ser um vetor de exploração. Buffer overflow sozinho não
> >> >>>>> representa
> >> >>>>> nada (a não ser a quebra do fluxo de execução ou invocação de um
> >> >>>>> exception handler) -- é necessário modificar o endereço de
> retorno,
> >> >>>>> ponteiro de função, estrutura de memória ou algum registrador
> >> >>>>> importante para que alguma coisa aconteça.
> >> >>>>>
> >> >>>>> Enfim, XSS é uma vulnerabilidade sim e sua criticidade pode variar
> >> >>>>> de
> >> >>>>> acordo com a capacidade de se explorá-la (ex: sites que não
> possuem
> >> >>>>> sessão ou autenticação). O fato do agente explorado não ser
> >> >>>>> diretamente a aplicação afetada (mas sim o seu cliente), não
> isenta
> >> >>>>> a
> >> >>>>> "classificação de vulnerabilidade".
> >> >>>>>
> >> >>>>> Abraços,
> >> >>>>>
> >> >>>>> Thiago Zaninotti,Security+,CISSP-ISSAP,CISM,CSSLP
> >> >>>>> Sr. InfoSec Professional
> >> >>>>>
> >> >>>>>
> >> >>>>>
> >> >>>>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
> >> >>>>>> Pessoal,
> >> >>>>>>
> >> >>>>>> por favor, evitem flames, pois eu sei muito bem o que é um XSS.
> >> >>>>>>
> >> >>>>>> O que eu questiono é, XSS sozinho faz alguma coisa?
> >> >>>>>>
> >> >>>>>> Na minha opinião não.
> >> >>>>>>
> >> >>>>>> XSS pra mim é um vetor, ele sempre irá ser meio para explorar
> >> >>>>>> alguma
> >> >>>>>> vulnerabilidade. Sem contar que o próprio XSS necessita da
> >> >>>>>> interação
> >> >>>>>> de um outro agente.
> >> >>>>>>
> >> >>>>>> O que acham?
> >> >>>>>>
> >> >>>>>> Abs.
> >> >>>>>> --
> >> >>>>>> --------------------------------
> >> >>>>>> Wagner Elias
> >> >>>>>> http://wagnerelias.com
> >> >>>>>> _______________________________________________
> >> >>>>>> Owasp-brazilian mailing list
> >> >>>>>> Owasp-brazilian at lists.owasp.org
> >> >>>>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >> >>>>>>
> >> >>>>>
> >> >>>>
> >> >>>>
> >> >>>>
> >> >>>> --
> >> >>>> --------------------------------
> >> >>>> Wagner Elias
> >> >>>> http://wagnerelias.com
> >> >>>>
> >> >>>
> >> >>>
> >> >>>
> >> >>> --
> >> >>> --------------------------------
> >> >>> Wagner Elias
> >> >>> http://wagnerelias.com
> >> >>> _______________________________________________
> >> >>> Owasp-brazilian mailing list
> >> >>> Owasp-brazilian at lists.owasp.org
> >> >>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >> >>>
> >> >>
> >> >>
> >> >>
> >> >> --
> >> >> --------------------------------
> >> >> Wagner Elias
> >> >> http://wagnerelias.com
> >> >> _______________________________________________
> >> >> Owasp-brazilian mailing list
> >> >> Owasp-brazilian at lists.owasp.org
> >> >> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >> >>
> >> >
> >> >
> >> >
> >> > --
> >> > If a tree falls in the forest and no one is around to see it, do the
> >> > other trees make fun of it?
> >> >
> >>
> >>
> >>
> >> --
> >> --------------------------------
> >> Wagner Elias
> >> http://wagnerelias.com
> >> _______________________________________________
> >> Owasp-brazilian mailing list
> >> Owasp-brazilian at lists.owasp.org
> >> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >
> >
>
>
>
> --
> --------------------------------
> Wagner Elias
> http://wagnerelias.com
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20090512/5ce67953/attachment-0001.html 


More information about the Owasp-brazilian mailing list