[Owasp-brazilian] Mais sobre XSS (Session Hijacking)

Leonardo Cavallari Militelli leonardocavallari at gmail.com
Thu May 14 08:43:45 EDT 2009


Senhores,

Uma forma mais efetiva de controlar a sessão e origem do usuário seria
utilizando a técnica de tokenização (tokenizing) que é a criação de um
número de sessão randômico para todo campo de input/página em cada request
do cliente e validar esse número do lado do servidor. Lembrando que para ser
efetivo, deve-se invalidar os números já utilizados.

Com relação ao proxy clusterizado, por ser um cluster e os ambientes serem
supostamente *identicos*, acho improvavel que aconteça esse tipo de
alteração no user-agent.

Por fim, validação por user-agent não agrega em nada. Alguns desenvolvedores
veem isso como "segurança por obscuridade", o que na verdade não passa de
uma concepção errada do conceito.

[]´s
Leo Cavallari


2009/5/13 Gustavo <gugdias at gmail.com>

> Maycon,
>
> Só um detalhe, a proteção de checagem de IP também criaria problemas para
> uma fatia de usuários não desprezível que estão atrás de um proxy ou
> roteador com NAT que faz balanceamento de carga entre dois ou mais links de
> internet.
>
> Isso é muito comum em empresas e em alguns provedores wireless de baixo
> custo, que colocam todos seus usuários atrás de 1 ou 2 ips de saída. E é por
> isso que não se vê por aí proteções como essa sendo utilizadas em sites
> grandes.
>
> Quanto a verificar o User-agent, também acho bem ineficaz, não só pelo
> problema dos proxys clusterizados, mas também porque é um campo que pode ser
> manipulado facilmente pelo atacante.
>
> Abs,
> Gustavo Dias
>
>
> 2009/5/13 Maycon Vitali <mayconuvv at gmail.com>
>
>> Fala Thiago,
>>
>> User-Agent não é uma boa idéia. Isso porque um Proxy clusterizado
>> poderia enviar (conhece Murphy?) o campo User-Agent diferente pra cada
>> máquina dentro do cluster. Eu nunca ví isso pessoalmente, mais já ouvi
>> falar. :)
>>
>>
>> 2009/5/13 Thiago Canozzo Lahr <tclahr at gmail.com>:
>> > Eu recomendo, além de fazer a verificação do IP (que é inútil quando
>> estamos
>> > falando de uma rede NATeada), que você compare informações do User Agent
>> > (browser) do usuário. Seria mais uma camada de proteção, tendo em vista
>> que
>> > ai o atacante teria que estar usando o mesmo IP de saida e um browser
>> com o
>> > mesmo User Agent que o da vítima.
>> >
>> > Gerar um novo SessionID após o login do usuário é legal também (evita
>> > fixation).
>> >
>> > []'s
>> >
>> > 2009/5/13 Maycon Vitali <mayconuvv at gmail.com>
>> >>
>> >> Fala Pessoal,
>> >>
>> >> Agora vem uma dúvida minha. Imaginem o seguinte ambiente:
>> >>
>> >> Eu tenho uma página que possúi uma falha de XSS. Porém a
>> >> cada requisição eu verifico se o IP que fez a requisição é o
>> >> mesmo IP que criou a sessão.
>> >>
>> >> Sem levar em consideração o ataque de Session Fixation, é
>> >> possível fazer o sequestro da sessão do usuário?
>> >>
>> >> Lembrando que meu objetivo é simplesmente sequestrar a
>> >> sessão.
>> >>
>> >> PS: Ignorem a possibilidade de eu estar na mesma subrede
>> >> que a vítima, ou seja, nossos IPs são completamente diferentes.
>> >>
>> >> ___
>> >> Obrigado,
>> >> Maycon Maia Vitali ( 0ut0fBound )
>> >> http://maycon.hacknroll.com/
>> >> http://blog.hacknroll.com/
>> >> Hack'n Roll
>> >> _______________________________________________
>> >> Owasp-brazilian mailing list
>> >> Owasp-brazilian at lists.owasp.org
>> >> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>> >
>> >
>> > _______________________________________________
>> > Owasp-brazilian mailing list
>> > Owasp-brazilian at lists.owasp.org
>> > https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>> >
>> >
>>
>>
>>
>> --
>> Abraços,
>> Maycon Maia Vitali ( 0ut0fBound )
>> http://maycon.hacknroll.com/
>> http://blog.hacknroll.com/
>> Hack'n Roll
>> _______________________________________________
>> Owasp-brazilian mailing list
>> Owasp-brazilian at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>
>
>
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20090514/bf3e13ce/attachment.html 


More information about the Owasp-brazilian mailing list