[Owasp-brazilian] Mais sobre XSS (Session Hijacking)

Thiago Lechuga thiagoalz at gmail.com
Wed May 13 12:52:18 EDT 2009


Fala Maycon,
Vou confirmar direitinho... mas se não me engano pelo que li e pelo
comportamento que vejo aqui quando uso, cada requisição ele faz uma ligação
de proxies bem aleatória e normalmente o ip final muda a cada requisição...
eu fico atualizando o torcheck <http://torcheck.xenobite.eu/> e a cada
requisição ele me da um IP diferente.

Mas sem dúvida tem maneiras melhores de evitar esse problema.
Por exemplo o esquema que o Gmail usa... não faço idéia de como é
exatamente, mas já tentei entender como funciona e tentei várias paradas e
nunca consegui nem emular minha propria session. (pode ser incompetência
minha também :P)

Talvez aquele esquema pra evitar CSRF, que os links dependem da sessão,
possa resolver tb.


[]s,

Thiago Alvarenga Lechuga
(19)9153-3822

Página Pessoal:
http://thiagoalz.googlepages.com/home

===Knowledge is only useful if you can share it.===


2009/5/13 Maycon Vitali <mayconuvv at gmail.com>

> Fala Thiago,
>
> Não sei se estou errado mas, até onde eu sei, o Tor cria um canal de
> comunicação uma única vez e a cada requisição temos o mesmo IP-Final
> no destino. Pelo menos utilizando o Vidalia eu preciso clicar em "Use
> a New Identity" pra meu IP-Final mudar. [1]
>
> [1] http://media.bestofmicro.com/vidalia,F-7-78307-13.jpg
>
> Minha questão não envolvia a solução, porque como disse tem ainda dois
> problemas: Um ataque interno (rede local) a um servidor externo, e
> utilizar o Cross-Site-Scripting pra fazer Session Fixation. Destas
> duas maneiras é possível sequestrar a sessão, porém gostaria de saber
> se existe outra maneira.
>
> Juntamente se alguém puder resolver: Na visão do programador, o que
> seria uma solução satisfatória contra session hijacking (tendo uma
> vulnerabilidade que permitisse isso)?
>
> ____
> Abraços,
> Maycon Maia Vitali ( 0ut0fBound )
> http://maycon.hacknroll.com/
> http://blog.hacknroll.com/
> Hack'n Roll
>
> 2009/5/13 Thiago Lechuga <thiagoalz at gmail.com>:
> > Acho que resolve sim!
> >
> > O cara não vai mais consegui navegar no seu site usando ferramentas tipo
> o
> > tor (não que possa se chamar isso de problema), mas acho que resolve.
> >
> > []s,
> >
> > Thiago Alvarenga Lechuga
> > (19)9153-3822
> >
> > Página Pessoal:
> > http://thiagoalz.googlepages.com/home
> >
> > ===Knowledge is only useful if you can share it.===
> >
> >
> > 2009/5/13 Maycon Vitali <mayconuvv at gmail.com>
> >>
> >> Fala Pessoal,
> >>
> >> Agora vem uma dúvida minha. Imaginem o seguinte ambiente:
> >>
> >> Eu tenho uma página que possúi uma falha de XSS. Porém a
> >> cada requisição eu verifico se o IP que fez a requisição é o
> >> mesmo IP que criou a sessão.
> >>
> >> Sem levar em consideração o ataque de Session Fixation, é
> >> possível fazer o sequestro da sessão do usuário?
> >>
> >> Lembrando que meu objetivo é simplesmente sequestrar a
> >> sessão.
> >>
> >> PS: Ignorem a possibilidade de eu estar na mesma subrede
> >> que a vítima, ou seja, nossos IPs são completamente diferentes.
> >>
> >> ___
> >> Obrigado,
> >> Maycon Maia Vitali ( 0ut0fBound )
> >> http://maycon.hacknroll.com/
> >> http://blog.hacknroll.com/
> >> Hack'n Roll
> >> _______________________________________________
> >> Owasp-brazilian mailing list
> >> Owasp-brazilian at lists.owasp.org
> >> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >
> >
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20090513/a5fc4b9f/attachment.html 


More information about the Owasp-brazilian mailing list