[Owasp-brazilian] XSS é realmente uma vulnerabilidade?

Wagner Elias wagner.elias at gmail.com
Tue May 12 16:17:56 EDT 2009


Maycon,

Você considera um defacement ter que enviar um link, ou fazer alguém
acessar o link? O que você alterou no site com isso?

Se for pra fazer um phising o cara vai mandar um trojan e não mandar o
cara ver um H1 com leet speaker.

Abs.

2009/5/12 Maycon Vitali <mayconuvv at gmail.com>:
>
> <script>document.body.innerHTML='<h1 align="center">h4ck3r by
> 0ut0fBound</h1>';</script>
>
> ___
> Maycon Maia Vitali ( 0ut0fBound )
> http://maycon.hacknroll.com/
> http://blog.hacknroll.com/
> Hack'n Roll
>
> 2009/5/12 Wagner Elias <wagner.elias at gmail.com>
>>
>> Oi Thiago,
>>
>> me dá um exemplo de defacement com apenas um XSS.
>>
>> Abs.
>>
>> 2009/5/11 Thiago Lechuga <thiagoalz at gmail.com>:
>> > Se tiver so um XSS o cara ja pode fazer um deface! Isso já nao
>> > classifica
>> > ele como uma falha?
>> > []s,
>> >
>> > Thiago Alvarenga Lechuga
>> > (19)9153-3822
>> >
>> > Página Pessoal:
>> > http://thiagoalz.googlepages.com/home
>> >
>> > ===Knowledge is only useful if you can share it.===
>> >
>> >
>> > 2009/5/11 Wagner Elias <wagner.elias at gmail.com>
>> >>
>> >> Lucas,
>> >>
>> >> eu estou considerando o XSS apenas como vetor pelo simples fato, nem
>> >> sempre um XSS vai resultar na exploração de uma aplicação.
>> >>
>> >> Se a aplicação não tiver nenhuma outra vulnerabilidade, o máximo que o
>> >> explorador vai conseguir é um "alert".
>> >>
>> >> Nos exemplos citados, todos precisam explorar algo (uma falha de
>> >> sessão, uma falha de configuração) se não houver nenhuma
>> >> vulnerabilidade desta, o XSS vai ser só um "alert".
>> >>
>> >> Cima,
>> >>
>> >> Se o XSS explorar o Same Origin Policy e executa uma transação em meu
>> >> nome ele é um CSRF não?
>> >>
>> >> Abs.
>> >>
>> >> 2009/5/11 Lucas Ferreira <lucas.ferreira at gmail.com>:
>> >> > Wagner,
>> >> >
>> >> > o que você quer dizer com vetor? Pelo que entendi, você está
>> >> > argumentando que o XSS só permite a inserção de um script e que quem
>> >> > faz o trabalho sujo é o script. Entendi corretamente?
>> >> >
>> >> > Quanto à questão do agente, a definição da CisspBR
>> >> > (http://tech.groups.yahoo.com/group/cisspBR/files/Definicoes/) diz:
>> >> >
>> >> > "As vulnerabilidades não provocam sozinhas os incidentes de
>> >> > segurança,
>> >> > pois são elementos passivos,
>> >> > sendo necessário a ação de um agente ou condição favorável."
>> >> >
>> >> > ou senão:
>> >> >
>> >> > "Vulnerabilidade é uma falha em um ponto de entrada que possibilita o
>> >> > comprometimento da
>> >> > confidencialidade, integridade ou disponibilidade de um ativo de
>> >> > informação."
>> >> >
>> >> > Relendo a definição, ainda acho que XSS é uma vulnerabilidade.
>> >> >
>> >> > Inté,
>> >> >
>> >> > Lucas
>> >> >
>> >> > 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
>> >> >> Pessoal,
>> >> >>
>> >> >> o fato de precisar de um agente, eu concordo, isso não diminui a
>> >> >> criticidade da vulnerabilidade que é explorada pelo XSS.
>> >> >>
>> >> >> Pegue todos os exemplos que deram, em todos os casos o XSS não foi
>> >> >> só o
>> >> >> vetor?
>> >> >>
>> >> >> Em alguma situação um XSS sem uma outra vulnerabilidade faz alguma
>> >> >> coisa?
>> >> >>
>> >> >> Lembro, eu apenas quero estressar esta questão, eu sei exatamente o
>> >> >> que um XSS pode fazer, porém tenho estas "dúvidas"...rs...
>> >> >>
>> >> >> Abs.
>> >> >>
>> >> >> 2009/5/11 Fernando Cima <fcima at microsoft.com>:
>> >> >>> Oi Wagner,
>> >> >>>
>> >> >>> XSS é uma forma de você fazer com que código Javascript seja
>> >> >>> executado
>> >> >>> no browser de um usuário, da mesma forma que um BO é uma forma de
>> >> >>> você fazer
>> >> >>> com que código nativo seja executado na máquina do usuário (ou em
>> >> >>> um
>> >> >>> servidor). O que torna o XSS eu acho ainda mais perigoso que o BO
>> >> >>> em alguns
>> >> >>> casos é que os dados - que é o que você realmente quer proteger -
>> >> >>> podem
>> >> >>> estar muito mais facilmente acessíveis a partir do browser do
>> >> >>> usuário do que
>> >> >>> de uma aplicação nativa.
>> >> >>>
>> >> >>> BO da mesma forma podem precisar de um "gatilho", especialmente os
>> >> >>> que
>> >> >>> são no lado client (por exemplo, o usuário tem que abrir um arquivo
>> >> >>> com o
>> >> >>> Office). Nem por isso eles deixam de ser vulnerabilidades
>> >> >>> importantes.
>> >> >>>
>> >> >>> Abraços,
>> >> >>>
>> >> >>> - Fernando Cima
>> >> >>>
>> >> >>> -----Original Message-----
>> >> >>> From: owasp-brazilian-bounces at lists.owasp.org
>> >> >>> [mailto:owasp-brazilian-bounces at lists.owasp.org] On Behalf Of
>> >> >>> Wagner Elias
>> >> >>> Sent: segunda-feira, 11 de maio de 2009 19:05
>> >> >>> To: Thiago Zaninotti
>> >> >>> Cc: owasp-brazilian at lists.owasp.org
>> >> >>> Subject: Re: [Owasp-brazilian] XSS é realmente uma vulnerabilidade?
>> >> >>>
>> >> >>> Ops... Eu não afirmo que XSS NÃO é uma vulnerabilidade, mas acho
>> >> >>> que é
>> >> >>> muito
>> >> >>> estardalhaço por uma coisa que é um "gatilho".
>> >> >>>
>> >> >>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
>> >> >>>> Oi Thiago,
>> >> >>>>
>> >> >>>> um BF está lá e vc pode explorar, o XSS além de ser um vetor (como
>> >> >>>> o
>> >> >>>> BF) ainda precisa de um agente pra explorar a falha.
>> >> >>>>
>> >> >>>> É o tipo de discussão filosófica, semântica, mas eu queria ouvir a
>> >> >>>> opinião de todos.
>> >> >>>>
>> >> >>>> Eu não afirmo que XSS é uma vulnerabilidade, mas acho que é muito
>> >> >>>> estardalhaço por uma coisa que é um "gatilho".
>> >> >>>>
>> >> >>>> Usando o BF como exemplo, se você encontra um BF e você não
>> >> >>>> consegue
>> >> >>>> trigar a falha, você considera como uma falha de segurança?
>> >> >>>>
>> >> >>>> Abs
>> >> >>>>
>> >> >>>> 2009/5/11 Thiago Zaninotti <thiago at zaninotti.net>:
>> >> >>>>> Caro Wagner,
>> >> >>>>>
>> >> >>>>> Buffer overflow é uma vulnerabilidade? Uma vulnerabilidade pode
>> >> >>>>> muito
>> >> >>>>> bem ser um vetor de exploração. Buffer overflow sozinho não
>> >> >>>>> representa
>> >> >>>>> nada (a não ser a quebra do fluxo de execução ou invocação de um
>> >> >>>>> exception handler) -- é necessário modificar o endereço de
>> >> >>>>> retorno,
>> >> >>>>> ponteiro de função, estrutura de memória ou algum registrador
>> >> >>>>> importante para que alguma coisa aconteça.
>> >> >>>>>
>> >> >>>>> Enfim, XSS é uma vulnerabilidade sim e sua criticidade pode
>> >> >>>>> variar
>> >> >>>>> de
>> >> >>>>> acordo com a capacidade de se explorá-la (ex: sites que não
>> >> >>>>> possuem
>> >> >>>>> sessão ou autenticação). O fato do agente explorado não ser
>> >> >>>>> diretamente a aplicação afetada (mas sim o seu cliente), não
>> >> >>>>> isenta
>> >> >>>>> a
>> >> >>>>> "classificação de vulnerabilidade".
>> >> >>>>>
>> >> >>>>> Abraços,
>> >> >>>>>
>> >> >>>>> Thiago Zaninotti,Security+,CISSP-ISSAP,CISM,CSSLP
>> >> >>>>> Sr. InfoSec Professional
>> >> >>>>>
>> >> >>>>>
>> >> >>>>>
>> >> >>>>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
>> >> >>>>>> Pessoal,
>> >> >>>>>>
>> >> >>>>>> por favor, evitem flames, pois eu sei muito bem o que é um XSS.
>> >> >>>>>>
>> >> >>>>>> O que eu questiono é, XSS sozinho faz alguma coisa?
>> >> >>>>>>
>> >> >>>>>> Na minha opinião não.
>> >> >>>>>>
>> >> >>>>>> XSS pra mim é um vetor, ele sempre irá ser meio para explorar
>> >> >>>>>> alguma
>> >> >>>>>> vulnerabilidade. Sem contar que o próprio XSS necessita da
>> >> >>>>>> interação
>> >> >>>>>> de um outro agente.
>> >> >>>>>>
>> >> >>>>>> O que acham?
>> >> >>>>>>
>> >> >>>>>> Abs.
>> >> >>>>>> --
>> >> >>>>>> --------------------------------
>> >> >>>>>> Wagner Elias
>> >> >>>>>> http://wagnerelias.com
>> >> >>>>>> _______________________________________________
>> >> >>>>>> Owasp-brazilian mailing list
>> >> >>>>>> Owasp-brazilian at lists.owasp.org
>> >> >>>>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>> >> >>>>>>
>> >> >>>>>
>> >> >>>>
>> >> >>>>
>> >> >>>>
>> >> >>>> --
>> >> >>>> --------------------------------
>> >> >>>> Wagner Elias
>> >> >>>> http://wagnerelias.com
>> >> >>>>
>> >> >>>
>> >> >>>
>> >> >>>
>> >> >>> --
>> >> >>> --------------------------------
>> >> >>> Wagner Elias
>> >> >>> http://wagnerelias.com
>> >> >>> _______________________________________________
>> >> >>> Owasp-brazilian mailing list
>> >> >>> Owasp-brazilian at lists.owasp.org
>> >> >>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>> >> >>>
>> >> >>
>> >> >>
>> >> >>
>> >> >> --
>> >> >> --------------------------------
>> >> >> Wagner Elias
>> >> >> http://wagnerelias.com
>> >> >> _______________________________________________
>> >> >> Owasp-brazilian mailing list
>> >> >> Owasp-brazilian at lists.owasp.org
>> >> >> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>> >> >>
>> >> >
>> >> >
>> >> >
>> >> > --
>> >> > If a tree falls in the forest and no one is around to see it, do the
>> >> > other trees make fun of it?
>> >> >
>> >>
>> >>
>> >>
>> >> --
>> >> --------------------------------
>> >> Wagner Elias
>> >> http://wagnerelias.com
>> >> _______________________________________________
>> >> Owasp-brazilian mailing list
>> >> Owasp-brazilian at lists.owasp.org
>> >> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>> >
>> >
>>
>>
>>
>> --
>> --------------------------------
>> Wagner Elias
>> http://wagnerelias.com
>> _______________________________________________
>> Owasp-brazilian mailing list
>> Owasp-brazilian at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
>



-- 
--------------------------------
Wagner Elias
http://wagnerelias.com


More information about the Owasp-brazilian mailing list