[Owasp-brazilian] XSS é realmente uma vulnerabilidade?

Leonardo Buonsanti leonardo.buonsanti at gmail.com
Wed May 13 19:24:48 EDT 2009


Maycon, concordo com o seu ponto de vista quanto a definição de *defacement*
.

Agora tire uma dúvida, você acha que um *Reflected XSS* que altere por
exemplo, um *Header*, ou coloque um *marquee* num site, é um *defacement?

*Abs.

2009/5/13 Maycon Vitali <mayconuvv at gmail.com>

> Alberto,
>
> Não entendi o que você quiz dizer com:
> "Que um XSS é uma técnica de ataque que só obtém sucesso (...)".
>
> Poderia me dar um exemplo de um ataque de defacement que não seria
> bem sucesso através de uma vulnerabilidade de XSS ?
>
> Lembrando que não concordo com a definição de que defacement é quando
> se acessa fisicamente o arquivo para alterálo (cp hack.htm index.htm).
> Concordo melhor com a definição que é o ato de modificar ou danificar
> a superfície ou aparência de algum objeto[1]
>
> [1] http://dictionary.reference.com/browse/defacement
>
> ___
> Abraços,
> Maycon Maia Vitali ( 0ut0fBound )
> http://maycon.hacknroll.com/
> http://blog.hacknroll.com/
> Hack'n Roll
>
>
> 2009/5/13 /* Alberto Fabiano */ <alberto at computer.org>
> >
> > 2009/5/13 Fernando Cima <fcima at microsoft.com>
> >>
> >> Oi Wagner,
> >>
> >> > Nash,
> >>
> >> Eu também sou cearense mas não sou o Nash... :)
> >>
> >> > era estes pontos que eu estava citando. No seu exemplo se o ambiente
> >> > estiver bem configurado (não possuir nenhum falha) o XSS não faz nada.
> >>
> >> Acho que você mudou ligeiramente o seu ponto. Antes você estava dizendo
> que o XSS dependia de um outro ataque (como CSRF) para ser danoso. Agora
> você está dizendo que o XSS para ser bem sucedido depende de uma determinada
> defesa não estar presente.
> >>
> >> Da mesma forma, alguém poderia argumentar que network sniffing não seria
> um ataque porque se a aplicação estiver bem configurada (i.e. usando IPsec
> or SSL) ele não faz nada. E por aí vai. Na verdade todo ataque depende de
> uma vulnerabilidade estar presente.
> >>
> >> > O interessante foi ver o que o XSS é capaz. Melhor que a brincadeira
> >> > de quantas pessoas são necessárias pra trocar uma lâmpada não é? rs...
> >>
> >> Não quantas pessoas, mas quantos CISSPs! Note a importância do diploma!
> ;)
> >
> > Well!
> >
> >        Entre um building e outro  acompanhei esta thread,  meus 0.0001
> cents:
> >
> >        - Que um XSS é uma técnica de ataque que só obtém sucesso se o
> cenário alvo possuir certas vulnerabilidades para uma exploração com eficaz,
> isto é um fato. Mas XSS não é um recurso legítimo, previsto, arquitetado e
> homologado! :-)  Normalmente, empregar técnicas de XSS só é possível
> mediante vulnerabilidades. Portanto, XSS é uma vulnerabilidade!
> >
> >       Entre um bug e outro (era problema de driver) pensei em expressar
> uma opnião, que não surpreso vi que o Cima já o fez acima. Hoje, e a muito
> tempo, ataques não são resultado de um único fator, normalmente um ataque é
> resultado de uma fórmula com vários elementos, XSS é apenas mais um.
> >
> > [ ]s
> >
> > Alberto Fabiano
> >
> >>
> >>
> >> Abraços,
> >>
> >> - Fernando Cima
> >>
> >> -----Original Message-----
> >> From: Wagner Elias [mailto:wagner.elias at gmail.com]
> >> Sent: quarta-feira, 13 de maio de 2009 08:24
> >> To: Fernando Cima
> >> Cc: Lucas Ferreira; owasp-brazilian at lists.owasp.org
> >> Subject: Re: [Owasp-brazilian] XSS é realmente uma vulnerabilidade?
> >>
> >> Nash,
> >>
> >> era estes pontos que eu estava citando. No seu exemplo se o ambiente
> >> estiver bem configurado (não possuir nenhum falha) o XSS não faz nada.
> >>
> >> A discussão foi boa, era essa intenção. Podemos afirmar, XSS é
> >> realmente uma vulnerabilidade. :) Infelizmente a discussão tomou
> >> outros rumos e acabamos dando definições do que é XSS.
> >>
> >> O interessante foi ver o que o XSS é capaz. Melhor que a brincadeira
> >> de quantas pessoas são necessárias pra trocar uma lâmpada não é? rs...
> >>
> >> Abs.
> >>
> >> 2009/5/12 Fernando Cima <fcima at microsoft.com>:
> >> > Oi Wagner,
> >> >
> >> > Quais seriam estes dois outros problemas? Eu não estou entendendo o
> seu ponto. Com XSS somente você pode roubar o cookie independente do site
> web controlar o tempo de sessão, encriptar o cookie e usar SSL. A única
> defesa contra isso seria marcar o cookie como httponly, mas isso não faz com
> que XSS deixe de ser uma vulnerabilidade, assim como defesas como DEP e ASLR
> não fazem com que BO também deixe de ser uma.
> >> >
> >> > Abraços,
> >> >
> >> > - Fernando Cima
> >> >
> >> > -----Original Message-----
> >> > From: Wagner Elias [mailto:wagner.elias at gmail.com]
> >> > Sent: terça-feira, 12 de maio de 2009 17:10
> >> > To: Fernando Cima
> >> > Cc: Lucas Ferreira; owasp-brazilian at lists.owasp.org
> >> > Subject: Re: [Owasp-brazilian] XSS é realmente uma vulnerabilidade?
> >> >
> >> > Cima,
> >> >
> >> > mais uma vez retornamos ao mesmo ponto, se ele conseguir pegar o
> >> > cookie e roubar a sessão, temos dois problemas além do XSS, falha de
> >> > configuração e sessão.
> >> >
> >> > Abs.
> >> >
> >> > 2009/5/11 Fernando Cima <fcima at microsoft.com>:
> >> >> Oi Wagner,
> >> >>
> >> >> Não é necessariamente um CSRF, porque não precisa estar forjando um
> request ao site original em seu nome para fazer um ataque (p.ex. no caso do
> roubo de um cookie de sessão).
> >> >>
> >> >> Abraços,
> >> >>
> >> >> - Fernando Cima
> >> >>
> >> >> -----Original Message-----
> >> >> From: Wagner Elias [mailto:wagner.elias at gmail.com]
> >> >> Sent: segunda-feira, 11 de maio de 2009 22:15
> >> >> To: Lucas Ferreira
> >> >> Cc: Fernando Cima; owasp-brazilian at lists.owasp.org
> >> >> Subject: Re: [Owasp-brazilian] XSS é realmente uma vulnerabilidade?
> >> >>
> >> >> Lucas,
> >> >>
> >> >> eu estou considerando o XSS apenas como vetor pelo simples fato, nem
> >> >> sempre um XSS vai resultar na exploração de uma aplicação.
> >> >>
> >> >> Se a aplicação não tiver nenhuma outra vulnerabilidade, o máximo que
> o
> >> >> explorador vai conseguir é um "alert".
> >> >>
> >> >> Nos exemplos citados, todos precisam explorar algo (uma falha de
> >> >> sessão, uma falha de configuração) se não houver nenhuma
> >> >> vulnerabilidade desta, o XSS vai ser só um "alert".
> >> >>
> >> >> Cima,
> >> >>
> >> >> Se o XSS explorar o Same Origin Policy e executa uma transação em meu
> >> >> nome ele é um CSRF não?
> >> >>
> >> >> Abs.
> >> >>
> >> >> 2009/5/11 Lucas Ferreira <lucas.ferreira at gmail.com>:
> >> >>> Wagner,
> >> >>>
> >> >>> o que você quer dizer com vetor? Pelo que entendi, você está
> >> >>> argumentando que o XSS só permite a inserção de um script e que quem
> >> >>> faz o trabalho sujo é o script. Entendi corretamente?
> >> >>>
> >> >>> Quanto à questão do agente, a definição da CisspBR
> >> >>> (http://tech.groups.yahoo.com/group/cisspBR/files/Definicoes/) diz:
> >> >>>
> >> >>> "As vulnerabilidades não provocam sozinhas os incidentes de
> segurança,
> >> >>> pois são elementos passivos,
> >> >>> sendo necessário a ação de um agente ou condição favorável."
> >> >>>
> >> >>> ou senão:
> >> >>>
> >> >>> "Vulnerabilidade é uma falha em um ponto de entrada que possibilita
> o
> >> >>> comprometimento da
> >> >>> confidencialidade, integridade ou disponibilidade de um ativo de
> informação."
> >> >>>
> >> >>> Relendo a definição, ainda acho que XSS é uma vulnerabilidade.
> >> >>>
> >> >>> Inté,
> >> >>>
> >> >>> Lucas
> >> >>>
> >> >>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
> >> >>>> Pessoal,
> >> >>>>
> >> >>>> o fato de precisar de um agente, eu concordo, isso não diminui a
> >> >>>> criticidade da vulnerabilidade que é explorada pelo XSS.
> >> >>>>
> >> >>>> Pegue todos os exemplos que deram, em todos os casos o XSS não foi
> só o vetor?
> >> >>>>
> >> >>>> Em alguma situação um XSS sem uma outra vulnerabilidade faz alguma
> coisa?
> >> >>>>
> >> >>>> Lembro, eu apenas quero estressar esta questão, eu sei exatamente o
> >> >>>> que um XSS pode fazer, porém tenho estas "dúvidas"...rs...
> >> >>>>
> >> >>>> Abs.
> >> >>>>
> >> >>>> 2009/5/11 Fernando Cima <fcima at microsoft.com>:
> >> >>>>> Oi Wagner,
> >> >>>>>
> >> >>>>> XSS é uma forma de você fazer com que código Javascript seja
> executado no browser de um usuário, da mesma forma que um BO é uma forma de
> você fazer com que código nativo seja executado na máquina do usuário (ou em
> um servidor). O que torna o XSS eu acho ainda mais perigoso que o BO em
> alguns casos é que os dados - que é o que você realmente quer proteger -
> podem estar muito mais facilmente acessíveis a partir do browser do usuário
> do que de uma aplicação nativa.
> >> >>>>>
> >> >>>>> BO da mesma forma podem precisar de um "gatilho", especialmente os
> que são no lado client (por exemplo, o usuário tem que abrir um arquivo com
> o Office). Nem por isso eles deixam de ser vulnerabilidades importantes.
> >> >>>>>
> >> >>>>> Abraços,
> >> >>>>>
> >> >>>>> - Fernando Cima
> >> >>>>>
> >> >>>>> -----Original Message-----
> >> >>>>> From: owasp-brazilian-bounces at lists.owasp.org [mailto:
> owasp-brazilian-bounces at lists.owasp.org] On Behalf Of Wagner Elias
> >> >>>>> Sent: segunda-feira, 11 de maio de 2009 19:05
> >> >>>>> To: Thiago Zaninotti
> >> >>>>> Cc: owasp-brazilian at lists.owasp.org
> >> >>>>> Subject: Re: [Owasp-brazilian] XSS é realmente uma
> vulnerabilidade?
> >> >>>>>
> >> >>>>> Ops... Eu não afirmo que XSS NÃO é uma vulnerabilidade, mas acho
> que é muito
> >> >>>>> estardalhaço por uma coisa que é um "gatilho".
> >> >>>>>
> >> >>>>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
> >> >>>>>> Oi Thiago,
> >> >>>>>>
> >> >>>>>> um BF está lá e vc pode explorar, o XSS além de ser um vetor
> (como o
> >> >>>>>> BF) ainda precisa de um agente pra explorar a falha.
> >> >>>>>>
> >> >>>>>> É o tipo de discussão filosófica, semântica, mas eu queria ouvir
> a
> >> >>>>>> opinião de todos.
> >> >>>>>>
> >> >>>>>> Eu não afirmo que XSS é uma vulnerabilidade, mas acho que é muito
> >> >>>>>> estardalhaço por uma coisa que é um "gatilho".
> >> >>>>>>
> >> >>>>>> Usando o BF como exemplo, se você encontra um BF e você não
> consegue
> >> >>>>>> trigar a falha, você considera como uma falha de segurança?
> >> >>>>>>
> >> >>>>>> Abs
> >> >>>>>>
> >> >>>>>> 2009/5/11 Thiago Zaninotti <thiago at zaninotti.net>:
> >> >>>>>>> Caro Wagner,
> >> >>>>>>>
> >> >>>>>>> Buffer overflow é uma vulnerabilidade? Uma vulnerabilidade pode
> muito
> >> >>>>>>> bem ser um vetor de exploração. Buffer overflow sozinho não
> representa
> >> >>>>>>> nada (a não ser a quebra do fluxo de execução ou invocação de um
> >> >>>>>>> exception handler) -- é necessário modificar o endereço de
> retorno,
> >> >>>>>>> ponteiro de função, estrutura de memória ou algum registrador
> >> >>>>>>> importante para que alguma coisa aconteça.
> >> >>>>>>>
> >> >>>>>>> Enfim, XSS é uma vulnerabilidade sim e sua criticidade pode
> variar de
> >> >>>>>>> acordo com a capacidade de se explorá-la (ex: sites que não
> possuem
> >> >>>>>>> sessão ou autenticação). O fato do agente explorado não ser
> >> >>>>>>> diretamente a aplicação afetada (mas sim o seu cliente), não
> isenta a
> >> >>>>>>> "classificação de vulnerabilidade".
> >> >>>>>>>
> >> >>>>>>> Abraços,
> >> >>>>>>>
> >> >>>>>>> Thiago Zaninotti,Security+,CISSP-ISSAP,CISM,CSSLP
> >> >>>>>>> Sr. InfoSec Professional
> >> >>>>>>>
> >> >>>>>>>
> >> >>>>>>>
> >> >>>>>>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
> >> >>>>>>>> Pessoal,
> >> >>>>>>>>
> >> >>>>>>>> por favor, evitem flames, pois eu sei muito bem o que é um XSS.
> >> >>>>>>>>
> >> >>>>>>>> O que eu questiono é, XSS sozinho faz alguma coisa?
> >> >>>>>>>>
> >> >>>>>>>> Na minha opinião não.
> >> >>>>>>>>
> >> >>>>>>>> XSS pra mim é um vetor, ele sempre irá ser meio para explorar
> alguma
> >> >>>>>>>> vulnerabilidade. Sem contar que o próprio XSS necessita da
> interação
> >> >>>>>>>> de um outro agente.
> >> >>>>>>>>
> >> >>>>>>>> O que acham?
> >> >>>>>>>>
> >> >>>>>>>> Abs.
> >> >>>>>>>> --
> >> >>>>>>>> --------------------------------
> >> >>>>>>>> Wagner Elias
> >> >>>>>>>> http://wagnerelias.com
> >> >>>>>>>> _______________________________________________
> >> >>>>>>>> Owasp-brazilian mailing list
> >> >>>>>>>> Owasp-brazilian at lists.owasp.org
> >> >>>>>>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >> >>>>>>>>
> >> >>>>>>>
> >> >>>>>>
> >> >>>>>>
> >> >>>>>>
> >> >>>>>> --
> >> >>>>>> --------------------------------
> >> >>>>>> Wagner Elias
> >> >>>>>> http://wagnerelias.com
> >> >>>>>>
> >> >>>>>
> >> >>>>>
> >> >>>>>
> >> >>>>> --
> >> >>>>> --------------------------------
> >> >>>>> Wagner Elias
> >> >>>>> http://wagnerelias.com
> >> >>>>> _______________________________________________
> >> >>>>> Owasp-brazilian mailing list
> >> >>>>> Owasp-brazilian at lists.owasp.org
> >> >>>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >> >>>>>
> >> >>>>
> >> >>>>
> >> >>>>
> >> >>>> --
> >> >>>> --------------------------------
> >> >>>> Wagner Elias
> >> >>>> http://wagnerelias.com
> >> >>>> _______________________________________________
> >> >>>> Owasp-brazilian mailing list
> >> >>>> Owasp-brazilian at lists.owasp.org
> >> >>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >> >>>>
> >> >>>
> >> >>>
> >> >>>
> >> >>> --
> >> >>> If a tree falls in the forest and no one is around to see it, do the
> >> >>> other trees make fun of it?
> >> >>>
> >> >>
> >> >>
> >> >>
> >> >> --
> >> >> --------------------------------
> >> >> Wagner Elias
> >> >> http://wagnerelias.com
> >> >>
> >> >>
> >> >
> >> >
> >> >
> >> > --
> >> > --------------------------------
> >> > Wagner Elias
> >> > http://wagnerelias.com
> >> >
> >> >
> >>
> >>
> >>
> >> --
> >> --------------------------------
> >> Wagner Elias
> >> http://wagnerelias.com
> >>
> >> _______________________________________________
> >> Owasp-brazilian mailing list
> >> Owasp-brazilian at lists.owasp.org
> >> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >
> >
> > _______________________________________________
> > Owasp-brazilian mailing list
> > Owasp-brazilian at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>



-- 
Leonardo Buonsanti
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20090513/ea5c6f88/attachment-0001.html 


More information about the Owasp-brazilian mailing list