[Owasp-brazilian] Mais sobre XSS (Session Hijacking)

Maycon Vitali mayconuvv at gmail.com
Wed May 13 16:00:30 EDT 2009


Fala Thiago,

User-Agent não é uma boa idéia. Isso porque um Proxy clusterizado
poderia enviar (conhece Murphy?) o campo User-Agent diferente pra cada
máquina dentro do cluster. Eu nunca ví isso pessoalmente, mais já ouvi
falar. :)


2009/5/13 Thiago Canozzo Lahr <tclahr at gmail.com>:
> Eu recomendo, além de fazer a verificação do IP (que é inútil quando estamos
> falando de uma rede NATeada), que você compare informações do User Agent
> (browser) do usuário. Seria mais uma camada de proteção, tendo em vista que
> ai o atacante teria que estar usando o mesmo IP de saida e um browser com o
> mesmo User Agent que o da vítima.
>
> Gerar um novo SessionID após o login do usuário é legal também (evita
> fixation).
>
> []'s
>
> 2009/5/13 Maycon Vitali <mayconuvv at gmail.com>
>>
>> Fala Pessoal,
>>
>> Agora vem uma dúvida minha. Imaginem o seguinte ambiente:
>>
>> Eu tenho uma página que possúi uma falha de XSS. Porém a
>> cada requisição eu verifico se o IP que fez a requisição é o
>> mesmo IP que criou a sessão.
>>
>> Sem levar em consideração o ataque de Session Fixation, é
>> possível fazer o sequestro da sessão do usuário?
>>
>> Lembrando que meu objetivo é simplesmente sequestrar a
>> sessão.
>>
>> PS: Ignorem a possibilidade de eu estar na mesma subrede
>> que a vítima, ou seja, nossos IPs são completamente diferentes.
>>
>> ___
>> Obrigado,
>> Maycon Maia Vitali ( 0ut0fBound )
>> http://maycon.hacknroll.com/
>> http://blog.hacknroll.com/
>> Hack'n Roll
>> _______________________________________________
>> Owasp-brazilian mailing list
>> Owasp-brazilian at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
>
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
>



-- 
Abraços,
Maycon Maia Vitali ( 0ut0fBound )
http://maycon.hacknroll.com/
http://blog.hacknroll.com/
Hack'n Roll


More information about the Owasp-brazilian mailing list