[Owasp-brazilian] XSS é realmente uma vulnerabilidade?

/* Alberto Fabiano */ alberto at computer.org
Wed May 13 09:17:22 EDT 2009


2009/5/13 Fernando Cima <fcima at microsoft.com>

> Oi Wagner,
>
> > Nash,
>
> Eu também sou cearense mas não sou o Nash... :)
>
> > era estes pontos que eu estava citando. No seu exemplo se o ambiente
> > estiver bem configurado (não possuir nenhum falha) o XSS não faz nada.
>
> Acho que você mudou ligeiramente o seu ponto. Antes você estava dizendo que
> o XSS dependia de um outro ataque (como CSRF) para ser danoso. Agora você
> está dizendo que o XSS para ser bem sucedido depende de uma determinada
> defesa não estar presente.
>
> Da mesma forma, alguém poderia argumentar que network sniffing não seria um
> ataque porque se a aplicação estiver bem configurada (i.e. usando IPsec or
> SSL) ele não faz nada. E por aí vai. Na verdade todo ataque depende de uma
> vulnerabilidade estar presente.
>
> > O interessante foi ver o que o XSS é capaz. Melhor que a brincadeira
> > de quantas pessoas são necessárias pra trocar uma lâmpada não é? rs...
>
> Não quantas pessoas, mas quantos CISSPs! Note a importância do diploma! ;)


Well!

       Entre um building e outro  acompanhei esta thread,  meus 0.0001
cents:

       - Que um XSS é uma técnica de ataque que só obtém sucesso se o
cenário alvo possuir certas vulnerabilidades para uma exploração com eficaz,
isto é um fato. Mas XSS não é um recurso legítimo, previsto, arquitetado e
homologado! :-)  Normalmente, empregar técnicas de XSS só é possível
mediante vulnerabilidades. Portanto, XSS é uma vulnerabilidade!

      Entre um bug e outro (era problema de driver) pensei em expressar uma
opnião, que não surpreso vi que o Cima já o fez acima. Hoje, e a muito
tempo, ataques não são resultado de um único fator, normalmente um ataque é
resultado de uma fórmula com vários elementos, XSS é apenas mais um.

[ ]s

Alberto Fabiano


>
> Abraços,
>
> - Fernando Cima
>
> -----Original Message-----
> From: Wagner Elias [mailto:wagner.elias at gmail.com]
> Sent: quarta-feira, 13 de maio de 2009 08:24
> To: Fernando Cima
> Cc: Lucas Ferreira; owasp-brazilian at lists.owasp.org
> Subject: Re: [Owasp-brazilian] XSS é realmente uma vulnerabilidade?
>
> Nash,
>
> era estes pontos que eu estava citando. No seu exemplo se o ambiente
> estiver bem configurado (não possuir nenhum falha) o XSS não faz nada.
>
> A discussão foi boa, era essa intenção. Podemos afirmar, XSS é
> realmente uma vulnerabilidade. :) Infelizmente a discussão tomou
> outros rumos e acabamos dando definições do que é XSS.
>
> O interessante foi ver o que o XSS é capaz. Melhor que a brincadeira
> de quantas pessoas são necessárias pra trocar uma lâmpada não é? rs...
>
> Abs.
>
> 2009/5/12 Fernando Cima <fcima at microsoft.com>:
> > Oi Wagner,
> >
> > Quais seriam estes dois outros problemas? Eu não estou entendendo o seu
> ponto. Com XSS somente você pode roubar o cookie independente do site web
> controlar o tempo de sessão, encriptar o cookie e usar SSL. A única defesa
> contra isso seria marcar o cookie como httponly, mas isso não faz com que
> XSS deixe de ser uma vulnerabilidade, assim como defesas como DEP e ASLR não
> fazem com que BO também deixe de ser uma.
> >
> > Abraços,
> >
> > - Fernando Cima
> >
> > -----Original Message-----
> > From: Wagner Elias [mailto:wagner.elias at gmail.com]
> > Sent: terça-feira, 12 de maio de 2009 17:10
> > To: Fernando Cima
> > Cc: Lucas Ferreira; owasp-brazilian at lists.owasp.org
> > Subject: Re: [Owasp-brazilian] XSS é realmente uma vulnerabilidade?
> >
> > Cima,
> >
> > mais uma vez retornamos ao mesmo ponto, se ele conseguir pegar o
> > cookie e roubar a sessão, temos dois problemas além do XSS, falha de
> > configuração e sessão.
> >
> > Abs.
> >
> > 2009/5/11 Fernando Cima <fcima at microsoft.com>:
> >> Oi Wagner,
> >>
> >> Não é necessariamente um CSRF, porque não precisa estar forjando um
> request ao site original em seu nome para fazer um ataque (p.ex. no caso do
> roubo de um cookie de sessão).
> >>
> >> Abraços,
> >>
> >> - Fernando Cima
> >>
> >> -----Original Message-----
> >> From: Wagner Elias [mailto:wagner.elias at gmail.com]
> >> Sent: segunda-feira, 11 de maio de 2009 22:15
> >> To: Lucas Ferreira
> >> Cc: Fernando Cima; owasp-brazilian at lists.owasp.org
> >> Subject: Re: [Owasp-brazilian] XSS é realmente uma vulnerabilidade?
> >>
> >> Lucas,
> >>
> >> eu estou considerando o XSS apenas como vetor pelo simples fato, nem
> >> sempre um XSS vai resultar na exploração de uma aplicação.
> >>
> >> Se a aplicação não tiver nenhuma outra vulnerabilidade, o máximo que o
> >> explorador vai conseguir é um "alert".
> >>
> >> Nos exemplos citados, todos precisam explorar algo (uma falha de
> >> sessão, uma falha de configuração) se não houver nenhuma
> >> vulnerabilidade desta, o XSS vai ser só um "alert".
> >>
> >> Cima,
> >>
> >> Se o XSS explorar o Same Origin Policy e executa uma transação em meu
> >> nome ele é um CSRF não?
> >>
> >> Abs.
> >>
> >> 2009/5/11 Lucas Ferreira <lucas.ferreira at gmail.com>:
> >>> Wagner,
> >>>
> >>> o que você quer dizer com vetor? Pelo que entendi, você está
> >>> argumentando que o XSS só permite a inserção de um script e que quem
> >>> faz o trabalho sujo é o script. Entendi corretamente?
> >>>
> >>> Quanto à questão do agente, a definição da CisspBR
> >>> (http://tech.groups.yahoo.com/group/cisspBR/files/Definicoes/) diz:
> >>>
> >>> "As vulnerabilidades não provocam sozinhas os incidentes de segurança,
> >>> pois são elementos passivos,
> >>> sendo necessário a ação de um agente ou condição favorável."
> >>>
> >>> ou senão:
> >>>
> >>> "Vulnerabilidade é uma falha em um ponto de entrada que possibilita o
> >>> comprometimento da
> >>> confidencialidade, integridade ou disponibilidade de um ativo de
> informação."
> >>>
> >>> Relendo a definição, ainda acho que XSS é uma vulnerabilidade.
> >>>
> >>> Inté,
> >>>
> >>> Lucas
> >>>
> >>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
> >>>> Pessoal,
> >>>>
> >>>> o fato de precisar de um agente, eu concordo, isso não diminui a
> >>>> criticidade da vulnerabilidade que é explorada pelo XSS.
> >>>>
> >>>> Pegue todos os exemplos que deram, em todos os casos o XSS não foi só
> o vetor?
> >>>>
> >>>> Em alguma situação um XSS sem uma outra vulnerabilidade faz alguma
> coisa?
> >>>>
> >>>> Lembro, eu apenas quero estressar esta questão, eu sei exatamente o
> >>>> que um XSS pode fazer, porém tenho estas "dúvidas"...rs...
> >>>>
> >>>> Abs.
> >>>>
> >>>> 2009/5/11 Fernando Cima <fcima at microsoft.com>:
> >>>>> Oi Wagner,
> >>>>>
> >>>>> XSS é uma forma de você fazer com que código Javascript seja
> executado no browser de um usuário, da mesma forma que um BO é uma forma de
> você fazer com que código nativo seja executado na máquina do usuário (ou em
> um servidor). O que torna o XSS eu acho ainda mais perigoso que o BO em
> alguns casos é que os dados - que é o que você realmente quer proteger -
> podem estar muito mais facilmente acessíveis a partir do browser do usuário
> do que de uma aplicação nativa.
> >>>>>
> >>>>> BO da mesma forma podem precisar de um "gatilho", especialmente os
> que são no lado client (por exemplo, o usuário tem que abrir um arquivo com
> o Office). Nem por isso eles deixam de ser vulnerabilidades importantes.
> >>>>>
> >>>>> Abraços,
> >>>>>
> >>>>> - Fernando Cima
> >>>>>
> >>>>> -----Original Message-----
> >>>>> From: owasp-brazilian-bounces at lists.owasp.org [mailto:
> owasp-brazilian-bounces at lists.owasp.org] On Behalf Of Wagner Elias
> >>>>> Sent: segunda-feira, 11 de maio de 2009 19:05
> >>>>> To: Thiago Zaninotti
> >>>>> Cc: owasp-brazilian at lists.owasp.org
> >>>>> Subject: Re: [Owasp-brazilian] XSS é realmente uma vulnerabilidade?
> >>>>>
> >>>>> Ops... Eu não afirmo que XSS NÃO é uma vulnerabilidade, mas acho que
> é muito
> >>>>> estardalhaço por uma coisa que é um "gatilho".
> >>>>>
> >>>>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
> >>>>>> Oi Thiago,
> >>>>>>
> >>>>>> um BF está lá e vc pode explorar, o XSS além de ser um vetor (como o
> >>>>>> BF) ainda precisa de um agente pra explorar a falha.
> >>>>>>
> >>>>>> É o tipo de discussão filosófica, semântica, mas eu queria ouvir a
> >>>>>> opinião de todos.
> >>>>>>
> >>>>>> Eu não afirmo que XSS é uma vulnerabilidade, mas acho que é muito
> >>>>>> estardalhaço por uma coisa que é um "gatilho".
> >>>>>>
> >>>>>> Usando o BF como exemplo, se você encontra um BF e você não consegue
> >>>>>> trigar a falha, você considera como uma falha de segurança?
> >>>>>>
> >>>>>> Abs
> >>>>>>
> >>>>>> 2009/5/11 Thiago Zaninotti <thiago at zaninotti.net>:
> >>>>>>> Caro Wagner,
> >>>>>>>
> >>>>>>> Buffer overflow é uma vulnerabilidade? Uma vulnerabilidade pode
> muito
> >>>>>>> bem ser um vetor de exploração. Buffer overflow sozinho não
> representa
> >>>>>>> nada (a não ser a quebra do fluxo de execução ou invocação de um
> >>>>>>> exception handler) -- é necessário modificar o endereço de retorno,
> >>>>>>> ponteiro de função, estrutura de memória ou algum registrador
> >>>>>>> importante para que alguma coisa aconteça.
> >>>>>>>
> >>>>>>> Enfim, XSS é uma vulnerabilidade sim e sua criticidade pode variar
> de
> >>>>>>> acordo com a capacidade de se explorá-la (ex: sites que não possuem
> >>>>>>> sessão ou autenticação). O fato do agente explorado não ser
> >>>>>>> diretamente a aplicação afetada (mas sim o seu cliente), não isenta
> a
> >>>>>>> "classificação de vulnerabilidade".
> >>>>>>>
> >>>>>>> Abraços,
> >>>>>>>
> >>>>>>> Thiago Zaninotti,Security+,CISSP-ISSAP,CISM,CSSLP
> >>>>>>> Sr. InfoSec Professional
> >>>>>>>
> >>>>>>>
> >>>>>>>
> >>>>>>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
> >>>>>>>> Pessoal,
> >>>>>>>>
> >>>>>>>> por favor, evitem flames, pois eu sei muito bem o que é um XSS.
> >>>>>>>>
> >>>>>>>> O que eu questiono é, XSS sozinho faz alguma coisa?
> >>>>>>>>
> >>>>>>>> Na minha opinião não.
> >>>>>>>>
> >>>>>>>> XSS pra mim é um vetor, ele sempre irá ser meio para explorar
> alguma
> >>>>>>>> vulnerabilidade. Sem contar que o próprio XSS necessita da
> interação
> >>>>>>>> de um outro agente.
> >>>>>>>>
> >>>>>>>> O que acham?
> >>>>>>>>
> >>>>>>>> Abs.
> >>>>>>>> --
> >>>>>>>> --------------------------------
> >>>>>>>> Wagner Elias
> >>>>>>>> http://wagnerelias.com
> >>>>>>>> _______________________________________________
> >>>>>>>> Owasp-brazilian mailing list
> >>>>>>>> Owasp-brazilian at lists.owasp.org
> >>>>>>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >>>>>>>>
> >>>>>>>
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>> --
> >>>>>> --------------------------------
> >>>>>> Wagner Elias
> >>>>>> http://wagnerelias.com
> >>>>>>
> >>>>>
> >>>>>
> >>>>>
> >>>>> --
> >>>>> --------------------------------
> >>>>> Wagner Elias
> >>>>> http://wagnerelias.com
> >>>>> _______________________________________________
> >>>>> Owasp-brazilian mailing list
> >>>>> Owasp-brazilian at lists.owasp.org
> >>>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >>>>>
> >>>>
> >>>>
> >>>>
> >>>> --
> >>>> --------------------------------
> >>>> Wagner Elias
> >>>> http://wagnerelias.com
> >>>> _______________________________________________
> >>>> Owasp-brazilian mailing list
> >>>> Owasp-brazilian at lists.owasp.org
> >>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >>>>
> >>>
> >>>
> >>>
> >>> --
> >>> If a tree falls in the forest and no one is around to see it, do the
> >>> other trees make fun of it?
> >>>
> >>
> >>
> >>
> >> --
> >> --------------------------------
> >> Wagner Elias
> >> http://wagnerelias.com
> >>
> >>
> >
> >
> >
> > --
> > --------------------------------
> > Wagner Elias
> > http://wagnerelias.com
> >
> >
>
>
>
> --
> --------------------------------
> Wagner Elias
> http://wagnerelias.com
>
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20090513/c27e0c4d/attachment-0001.html 


More information about the Owasp-brazilian mailing list