[Owasp-brazilian] XSS é realmente uma vulnerabilidade?

Wagner Elias wagner.elias at gmail.com
Tue May 12 16:13:11 EDT 2009


Oi Thiago,

com eu disse no início da discussão, eu sei muito bem o que é um XSS e
quero estressar estas questões sobre o XSS.

Se o cara explora um XSS e consegue altera um objeto DOM e criar um
formulário fake para roubar a sessão, não tem nenhuma outra falha?

Ok, se considerarmos que ausência de controle não é vulnerabilidade,
concordo com você. Agora, não faltou um token para validar a sessão?
Mesmo que a entropia da sessão seja boa, aind existe a necessidade de
outros controles.

Abs.

2009/5/11 Thiago Zaninotti <thiago at zaninotti.net>:
> Wagner,
>
>> eu estou considerando o XSS apenas como vetor pelo simples fato, nem
>> sempre um XSS vai resultar na exploração de uma aplicação.
>>
>> Se a aplicação não tiver nenhuma outra vulnerabilidade, o máximo que o
>> explorador vai conseguir é um "alert".
>>
>> Nos exemplos citados, todos precisam explorar algo (uma falha de
>> sessão, uma falha de configuração) se não houver nenhuma
>> vulnerabilidade desta, o XSS vai ser só um "alert".
>
> Acho que você está confundindo as bolas :)
>
> - O XSS é uma vulnerabilidade por si só -- uma falha que permite o
> acesso arbitrário ao Document Object Model (DOM) de uma página que
> está em um domínio de segurança externo e "supostamente" protegido;
> - O XSS não precisa de outra vulnerabilidade para ser explorado. Eu
> posso injetar um script que vai emular um "formulário de autenticação"
> no lugar do formulário correto, permitindo que eu capture as sessões
> válidas. Principalmente em aplicações que já adotem práticas razoáveis
> de segurança (mas não tenham filtrado XSS);
> - Em todos os exemplos citados, o XSS é um vetor de exploração viável
> (não precisa de uma falha de sessão nem configuração) -- posso
> utilizar o melhor mecanismo de sessão e ter uma entropia razoável --
> ainda assim vou ser suscetível aos males do XSS.
>
> Abraços,
>
> Thiago Zaninotti,Security+,CISSP-ISSAP,CISM,CSSLP
> Sr. InfoSec Professional
>



-- 
--------------------------------
Wagner Elias
http://wagnerelias.com


More information about the Owasp-brazilian mailing list