[Owasp-brazilian] XSS é realmente uma vulnerabilidade?

Maycon Vitali mayconuvv at gmail.com
Tue May 12 16:22:45 EDT 2009


Wagner,

Existem diversas maneiras de se injetar informações sem ser atraves da URL.
Se tiver um formulário de envio de comentários e ali for um vetor de ataque
à XSS então não precisaria induzir o usuário a acessar www.site.com/bugvar=
<script>....</script>
Vejo exemplos comuns em páginas que monstram quem são os usuários on-lines
no momento. Para isto bastaria cadastrar um usuário cujo nome seja nossa
string XSS e com isso qualquer um que acessar a página principal seria
afetado.

___
Maycon Maia Vitali ( 0ut0fBound )
http://maycon.hacknroll.com/ <http://maycon.hacknroll.com/>
http://blog.hacknroll.com/
Hack'n Roll

2009/5/12 Wagner Elias <wagner.elias at gmail.com>

> Maycon,
>
> Você considera um defacement ter que enviar um link, ou fazer alguém
> acessar o link? O que você alterou no site com isso?
>
> Se for pra fazer um phising o cara vai mandar um trojan e não mandar o
> cara ver um H1 com leet speaker.
>
> Abs.
>
> 2009/5/12 Maycon Vitali <mayconuvv at gmail.com>:
> >
> > <script>document.body.innerHTML='<h1 align="center">h4ck3r by
> > 0ut0fBound</h1>';</script>
> >
> > ___
> > Maycon Maia Vitali ( 0ut0fBound )
> > http://maycon.hacknroll.com/
> > http://blog.hacknroll.com/
> > Hack'n Roll
> >
> > 2009/5/12 Wagner Elias <wagner.elias at gmail.com>
> >>
> >> Oi Thiago,
> >>
> >> me dá um exemplo de defacement com apenas um XSS.
> >>
> >> Abs.
> >>
> >> 2009/5/11 Thiago Lechuga <thiagoalz at gmail.com>:
> >> > Se tiver so um XSS o cara ja pode fazer um deface! Isso já nao
> >> > classifica
> >> > ele como uma falha?
> >> > []s,
> >> >
> >> > Thiago Alvarenga Lechuga
> >> > (19)9153-3822
> >> >
> >> > Página Pessoal:
> >> > http://thiagoalz.googlepages.com/home
> >> >
> >> > ===Knowledge is only useful if you can share it.===
> >> >
> >> >
> >> > 2009/5/11 Wagner Elias <wagner.elias at gmail.com>
> >> >>
> >> >> Lucas,
> >> >>
> >> >> eu estou considerando o XSS apenas como vetor pelo simples fato, nem
> >> >> sempre um XSS vai resultar na exploração de uma aplicação.
> >> >>
> >> >> Se a aplicação não tiver nenhuma outra vulnerabilidade, o máximo que
> o
> >> >> explorador vai conseguir é um "alert".
> >> >>
> >> >> Nos exemplos citados, todos precisam explorar algo (uma falha de
> >> >> sessão, uma falha de configuração) se não houver nenhuma
> >> >> vulnerabilidade desta, o XSS vai ser só um "alert".
> >> >>
> >> >> Cima,
> >> >>
> >> >> Se o XSS explorar o Same Origin Policy e executa uma transação em meu
> >> >> nome ele é um CSRF não?
> >> >>
> >> >> Abs.
> >> >>
> >> >> 2009/5/11 Lucas Ferreira <lucas.ferreira at gmail.com>:
> >> >> > Wagner,
> >> >> >
> >> >> > o que você quer dizer com vetor? Pelo que entendi, você está
> >> >> > argumentando que o XSS só permite a inserção de um script e que
> quem
> >> >> > faz o trabalho sujo é o script. Entendi corretamente?
> >> >> >
> >> >> > Quanto à questão do agente, a definição da CisspBR
> >> >> > (http://tech.groups.yahoo.com/group/cisspBR/files/Definicoes/)
> diz:
> >> >> >
> >> >> > "As vulnerabilidades não provocam sozinhas os incidentes de
> >> >> > segurança,
> >> >> > pois são elementos passivos,
> >> >> > sendo necessário a ação de um agente ou condição favorável."
> >> >> >
> >> >> > ou senão:
> >> >> >
> >> >> > "Vulnerabilidade é uma falha em um ponto de entrada que possibilita
> o
> >> >> > comprometimento da
> >> >> > confidencialidade, integridade ou disponibilidade de um ativo de
> >> >> > informação."
> >> >> >
> >> >> > Relendo a definição, ainda acho que XSS é uma vulnerabilidade.
> >> >> >
> >> >> > Inté,
> >> >> >
> >> >> > Lucas
> >> >> >
> >> >> > 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
> >> >> >> Pessoal,
> >> >> >>
> >> >> >> o fato de precisar de um agente, eu concordo, isso não diminui a
> >> >> >> criticidade da vulnerabilidade que é explorada pelo XSS.
> >> >> >>
> >> >> >> Pegue todos os exemplos que deram, em todos os casos o XSS não foi
> >> >> >> só o
> >> >> >> vetor?
> >> >> >>
> >> >> >> Em alguma situação um XSS sem uma outra vulnerabilidade faz alguma
> >> >> >> coisa?
> >> >> >>
> >> >> >> Lembro, eu apenas quero estressar esta questão, eu sei exatamente
> o
> >> >> >> que um XSS pode fazer, porém tenho estas "dúvidas"...rs...
> >> >> >>
> >> >> >> Abs.
> >> >> >>
> >> >> >> 2009/5/11 Fernando Cima <fcima at microsoft.com>:
> >> >> >>> Oi Wagner,
> >> >> >>>
> >> >> >>> XSS é uma forma de você fazer com que código Javascript seja
> >> >> >>> executado
> >> >> >>> no browser de um usuário, da mesma forma que um BO é uma forma de
> >> >> >>> você fazer
> >> >> >>> com que código nativo seja executado na máquina do usuário (ou em
> >> >> >>> um
> >> >> >>> servidor). O que torna o XSS eu acho ainda mais perigoso que o BO
> >> >> >>> em alguns
> >> >> >>> casos é que os dados - que é o que você realmente quer proteger -
> >> >> >>> podem
> >> >> >>> estar muito mais facilmente acessíveis a partir do browser do
> >> >> >>> usuário do que
> >> >> >>> de uma aplicação nativa.
> >> >> >>>
> >> >> >>> BO da mesma forma podem precisar de um "gatilho", especialmente
> os
> >> >> >>> que
> >> >> >>> são no lado client (por exemplo, o usuário tem que abrir um
> arquivo
> >> >> >>> com o
> >> >> >>> Office). Nem por isso eles deixam de ser vulnerabilidades
> >> >> >>> importantes.
> >> >> >>>
> >> >> >>> Abraços,
> >> >> >>>
> >> >> >>> - Fernando Cima
> >> >> >>>
> >> >> >>> -----Original Message-----
> >> >> >>> From: owasp-brazilian-bounces at lists.owasp.org
> >> >> >>> [mailto:owasp-brazilian-bounces at lists.owasp.org] On Behalf Of
> >> >> >>> Wagner Elias
> >> >> >>> Sent: segunda-feira, 11 de maio de 2009 19:05
> >> >> >>> To: Thiago Zaninotti
> >> >> >>> Cc: owasp-brazilian at lists.owasp.org
> >> >> >>> Subject: Re: [Owasp-brazilian] XSS é realmente uma
> vulnerabilidade?
> >> >> >>>
> >> >> >>> Ops... Eu não afirmo que XSS NÃO é uma vulnerabilidade, mas acho
> >> >> >>> que é
> >> >> >>> muito
> >> >> >>> estardalhaço por uma coisa que é um "gatilho".
> >> >> >>>
> >> >> >>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
> >> >> >>>> Oi Thiago,
> >> >> >>>>
> >> >> >>>> um BF está lá e vc pode explorar, o XSS além de ser um vetor
> (como
> >> >> >>>> o
> >> >> >>>> BF) ainda precisa de um agente pra explorar a falha.
> >> >> >>>>
> >> >> >>>> É o tipo de discussão filosófica, semântica, mas eu queria ouvir
> a
> >> >> >>>> opinião de todos.
> >> >> >>>>
> >> >> >>>> Eu não afirmo que XSS é uma vulnerabilidade, mas acho que é
> muito
> >> >> >>>> estardalhaço por uma coisa que é um "gatilho".
> >> >> >>>>
> >> >> >>>> Usando o BF como exemplo, se você encontra um BF e você não
> >> >> >>>> consegue
> >> >> >>>> trigar a falha, você considera como uma falha de segurança?
> >> >> >>>>
> >> >> >>>> Abs
> >> >> >>>>
> >> >> >>>> 2009/5/11 Thiago Zaninotti <thiago at zaninotti.net>:
> >> >> >>>>> Caro Wagner,
> >> >> >>>>>
> >> >> >>>>> Buffer overflow é uma vulnerabilidade? Uma vulnerabilidade pode
> >> >> >>>>> muito
> >> >> >>>>> bem ser um vetor de exploração. Buffer overflow sozinho não
> >> >> >>>>> representa
> >> >> >>>>> nada (a não ser a quebra do fluxo de execução ou invocação de
> um
> >> >> >>>>> exception handler) -- é necessário modificar o endereço de
> >> >> >>>>> retorno,
> >> >> >>>>> ponteiro de função, estrutura de memória ou algum registrador
> >> >> >>>>> importante para que alguma coisa aconteça.
> >> >> >>>>>
> >> >> >>>>> Enfim, XSS é uma vulnerabilidade sim e sua criticidade pode
> >> >> >>>>> variar
> >> >> >>>>> de
> >> >> >>>>> acordo com a capacidade de se explorá-la (ex: sites que não
> >> >> >>>>> possuem
> >> >> >>>>> sessão ou autenticação). O fato do agente explorado não ser
> >> >> >>>>> diretamente a aplicação afetada (mas sim o seu cliente), não
> >> >> >>>>> isenta
> >> >> >>>>> a
> >> >> >>>>> "classificação de vulnerabilidade".
> >> >> >>>>>
> >> >> >>>>> Abraços,
> >> >> >>>>>
> >> >> >>>>> Thiago Zaninotti,Security+,CISSP-ISSAP,CISM,CSSLP
> >> >> >>>>> Sr. InfoSec Professional
> >> >> >>>>>
> >> >> >>>>>
> >> >> >>>>>
> >> >> >>>>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
> >> >> >>>>>> Pessoal,
> >> >> >>>>>>
> >> >> >>>>>> por favor, evitem flames, pois eu sei muito bem o que é um
> XSS.
> >> >> >>>>>>
> >> >> >>>>>> O que eu questiono é, XSS sozinho faz alguma coisa?
> >> >> >>>>>>
> >> >> >>>>>> Na minha opinião não.
> >> >> >>>>>>
> >> >> >>>>>> XSS pra mim é um vetor, ele sempre irá ser meio para explorar
> >> >> >>>>>> alguma
> >> >> >>>>>> vulnerabilidade. Sem contar que o próprio XSS necessita da
> >> >> >>>>>> interação
> >> >> >>>>>> de um outro agente.
> >> >> >>>>>>
> >> >> >>>>>> O que acham?
> >> >> >>>>>>
> >> >> >>>>>> Abs.
> >> >> >>>>>> --
> >> >> >>>>>> --------------------------------
> >> >> >>>>>> Wagner Elias
> >> >> >>>>>> http://wagnerelias.com
> >> >> >>>>>> _______________________________________________
> >> >> >>>>>> Owasp-brazilian mailing list
> >> >> >>>>>> Owasp-brazilian at lists.owasp.org
> >> >> >>>>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >> >> >>>>>>
> >> >> >>>>>
> >> >> >>>>
> >> >> >>>>
> >> >> >>>>
> >> >> >>>> --
> >> >> >>>> --------------------------------
> >> >> >>>> Wagner Elias
> >> >> >>>> http://wagnerelias.com
> >> >> >>>>
> >> >> >>>
> >> >> >>>
> >> >> >>>
> >> >> >>> --
> >> >> >>> --------------------------------
> >> >> >>> Wagner Elias
> >> >> >>> http://wagnerelias.com
> >> >> >>> _______________________________________________
> >> >> >>> Owasp-brazilian mailing list
> >> >> >>> Owasp-brazilian at lists.owasp.org
> >> >> >>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >> >> >>>
> >> >> >>
> >> >> >>
> >> >> >>
> >> >> >> --
> >> >> >> --------------------------------
> >> >> >> Wagner Elias
> >> >> >> http://wagnerelias.com
> >> >> >> _______________________________________________
> >> >> >> Owasp-brazilian mailing list
> >> >> >> Owasp-brazilian at lists.owasp.org
> >> >> >> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >> >> >>
> >> >> >
> >> >> >
> >> >> >
> >> >> > --
> >> >> > If a tree falls in the forest and no one is around to see it, do
> the
> >> >> > other trees make fun of it?
> >> >> >
> >> >>
> >> >>
> >> >>
> >> >> --
> >> >> --------------------------------
> >> >> Wagner Elias
> >> >> http://wagnerelias.com
> >> >> _______________________________________________
> >> >> Owasp-brazilian mailing list
> >> >> Owasp-brazilian at lists.owasp.org
> >> >> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >> >
> >> >
> >>
> >>
> >>
> >> --
> >> --------------------------------
> >> Wagner Elias
> >> http://wagnerelias.com
> >> _______________________________________________
> >> Owasp-brazilian mailing list
> >> Owasp-brazilian at lists.owasp.org
> >> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >
> >
>
>
>
> --
> --------------------------------
> Wagner Elias
> http://wagnerelias.com
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20090512/904c52f7/attachment-0001.html 


More information about the Owasp-brazilian mailing list