[Owasp-brazilian] Mais sobre XSS (Session Hijacking)

Gustavo gugdias at gmail.com
Wed May 13 16:41:54 EDT 2009


Maycon,

Só um detalhe, a proteção de checagem de IP também criaria problemas para
uma fatia de usuários não desprezível que estão atrás de um proxy ou
roteador com NAT que faz balanceamento de carga entre dois ou mais links de
internet.

Isso é muito comum em empresas e em alguns provedores wireless de baixo
custo, que colocam todos seus usuários atrás de 1 ou 2 ips de saída. E é por
isso que não se vê por aí proteções como essa sendo utilizadas em sites
grandes.

Quanto a verificar o User-agent, também acho bem ineficaz, não só pelo
problema dos proxys clusterizados, mas também porque é um campo que pode ser
manipulado facilmente pelo atacante.

Abs,
Gustavo Dias

2009/5/13 Maycon Vitali <mayconuvv at gmail.com>

> Fala Thiago,
>
> User-Agent não é uma boa idéia. Isso porque um Proxy clusterizado
> poderia enviar (conhece Murphy?) o campo User-Agent diferente pra cada
> máquina dentro do cluster. Eu nunca ví isso pessoalmente, mais já ouvi
> falar. :)
>
>
> 2009/5/13 Thiago Canozzo Lahr <tclahr at gmail.com>:
> > Eu recomendo, além de fazer a verificação do IP (que é inútil quando
> estamos
> > falando de uma rede NATeada), que você compare informações do User Agent
> > (browser) do usuário. Seria mais uma camada de proteção, tendo em vista
> que
> > ai o atacante teria que estar usando o mesmo IP de saida e um browser com
> o
> > mesmo User Agent que o da vítima.
> >
> > Gerar um novo SessionID após o login do usuário é legal também (evita
> > fixation).
> >
> > []'s
> >
> > 2009/5/13 Maycon Vitali <mayconuvv at gmail.com>
> >>
> >> Fala Pessoal,
> >>
> >> Agora vem uma dúvida minha. Imaginem o seguinte ambiente:
> >>
> >> Eu tenho uma página que possúi uma falha de XSS. Porém a
> >> cada requisição eu verifico se o IP que fez a requisição é o
> >> mesmo IP que criou a sessão.
> >>
> >> Sem levar em consideração o ataque de Session Fixation, é
> >> possível fazer o sequestro da sessão do usuário?
> >>
> >> Lembrando que meu objetivo é simplesmente sequestrar a
> >> sessão.
> >>
> >> PS: Ignorem a possibilidade de eu estar na mesma subrede
> >> que a vítima, ou seja, nossos IPs são completamente diferentes.
> >>
> >> ___
> >> Obrigado,
> >> Maycon Maia Vitali ( 0ut0fBound )
> >> http://maycon.hacknroll.com/
> >> http://blog.hacknroll.com/
> >> Hack'n Roll
> >> _______________________________________________
> >> Owasp-brazilian mailing list
> >> Owasp-brazilian at lists.owasp.org
> >> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >
> >
> > _______________________________________________
> > Owasp-brazilian mailing list
> > Owasp-brazilian at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >
> >
>
>
>
> --
> Abraços,
> Maycon Maia Vitali ( 0ut0fBound )
> http://maycon.hacknroll.com/
> http://blog.hacknroll.com/
> Hack'n Roll
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20090513/358dd23d/attachment.html 


More information about the Owasp-brazilian mailing list