[Owasp-brazilian] Mais sobre XSS (Session Hijacking)

Thiago Canozzo Lahr tclahr at gmail.com
Wed May 13 12:58:12 EDT 2009


Eu recomendo, além de fazer a verificação do IP (que é inútil quando estamos
falando de uma rede NATeada), que você compare informações do User Agent
(browser) do usuário. Seria mais uma camada de proteção, tendo em vista que
ai o atacante teria que estar usando o mesmo IP de saida e um browser com o
mesmo User Agent que o da vítima.

Gerar um novo SessionID após o login do usuário é legal também (evita
fixation).

[]'s

2009/5/13 Maycon Vitali <mayconuvv at gmail.com>

> Fala Pessoal,
>
> Agora vem uma dúvida minha. Imaginem o seguinte ambiente:
>
> Eu tenho uma página que possúi uma falha de XSS. Porém a
> cada requisição eu verifico se o IP que fez a requisição é o
> mesmo IP que criou a sessão.
>
> Sem levar em consideração o ataque de Session Fixation, é
> possível fazer o sequestro da sessão do usuário?
>
> Lembrando que meu objetivo é simplesmente sequestrar a
> sessão.
>
> PS: Ignorem a possibilidade de eu estar na mesma subrede
> que a vítima, ou seja, nossos IPs são completamente diferentes.
>
> ___
> Obrigado,
> Maycon Maia Vitali ( 0ut0fBound )
> http://maycon.hacknroll.com/
> http://blog.hacknroll.com/
> Hack'n Roll
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20090513/5e47d66e/attachment.html 


More information about the Owasp-brazilian mailing list