[Owasp-brazilian] XSS é realmente uma vulnerabilidade?

Wagner Elias wagner.elias at gmail.com
Thu May 14 09:05:09 EDT 2009


Oi Cima,

eu não tenho esse diploma, por isso nem respondi naquela thread. :(

Eu usei esta frase: "Ok, se considerarmos que ausência de controle não
é vulnerabilidade,
concordo com você."

Ah, eu não mudei de opinião, eu comecei a thread questionando e queria
justamente a discussão de todos... :)

Abs.

2009/5/13 Fernando Cima <fcima at microsoft.com>:
> Oi Wagner,
>
>> Nash,
>
> Eu também sou cearense mas não sou o Nash... :)
>
>> era estes pontos que eu estava citando. No seu exemplo se o ambiente
>> estiver bem configurado (não possuir nenhum falha) o XSS não faz nada.
>
> Acho que você mudou ligeiramente o seu ponto. Antes você estava dizendo que o XSS dependia de um outro ataque (como CSRF) para ser danoso. Agora você está dizendo que o XSS para ser bem sucedido depende de uma determinada defesa não estar presente.
>
> Da mesma forma, alguém poderia argumentar que network sniffing não seria um ataque porque se a aplicação estiver bem configurada (i.e. usando IPsec or SSL) ele não faz nada. E por aí vai. Na verdade todo ataque depende de uma vulnerabilidade estar presente.
>
>> O interessante foi ver o que o XSS é capaz. Melhor que a brincadeira
>> de quantas pessoas são necessárias pra trocar uma lâmpada não é? rs...
>
> Não quantas pessoas, mas quantos CISSPs! Note a importância do diploma! ;)
>
> Abraços,
>
> - Fernando Cima
>
> -----Original Message-----
> From: Wagner Elias [mailto:wagner.elias at gmail.com]
> Sent: quarta-feira, 13 de maio de 2009 08:24
> To: Fernando Cima
> Cc: Lucas Ferreira; owasp-brazilian at lists.owasp.org
> Subject: Re: [Owasp-brazilian] XSS é realmente uma vulnerabilidade?
>
> Nash,
>
> era estes pontos que eu estava citando. No seu exemplo se o ambiente
> estiver bem configurado (não possuir nenhum falha) o XSS não faz nada.
>
> A discussão foi boa, era essa intenção. Podemos afirmar, XSS é
> realmente uma vulnerabilidade. :) Infelizmente a discussão tomou
> outros rumos e acabamos dando definições do que é XSS.
>
> O interessante foi ver o que o XSS é capaz. Melhor que a brincadeira
> de quantas pessoas são necessárias pra trocar uma lâmpada não é? rs...
>
> Abs.
>
> 2009/5/12 Fernando Cima <fcima at microsoft.com>:
>> Oi Wagner,
>>
>> Quais seriam estes dois outros problemas? Eu não estou entendendo o seu ponto. Com XSS somente você pode roubar o cookie independente do site web controlar o tempo de sessão, encriptar o cookie e usar SSL. A única defesa contra isso seria marcar o cookie como httponly, mas isso não faz com que XSS deixe de ser uma vulnerabilidade, assim como defesas como DEP e ASLR não fazem com que BO também deixe de ser uma.
>>
>> Abraços,
>>
>> - Fernando Cima
>>
>> -----Original Message-----
>> From: Wagner Elias [mailto:wagner.elias at gmail.com]
>> Sent: terça-feira, 12 de maio de 2009 17:10
>> To: Fernando Cima
>> Cc: Lucas Ferreira; owasp-brazilian at lists.owasp.org
>> Subject: Re: [Owasp-brazilian] XSS é realmente uma vulnerabilidade?
>>
>> Cima,
>>
>> mais uma vez retornamos ao mesmo ponto, se ele conseguir pegar o
>> cookie e roubar a sessão, temos dois problemas além do XSS, falha de
>> configuração e sessão.
>>
>> Abs.
>>
>> 2009/5/11 Fernando Cima <fcima at microsoft.com>:
>>> Oi Wagner,
>>>
>>> Não é necessariamente um CSRF, porque não precisa estar forjando um request ao site original em seu nome para fazer um ataque (p.ex. no caso do roubo de um cookie de sessão).
>>>
>>> Abraços,
>>>
>>> - Fernando Cima
>>>
>>> -----Original Message-----
>>> From: Wagner Elias [mailto:wagner.elias at gmail.com]
>>> Sent: segunda-feira, 11 de maio de 2009 22:15
>>> To: Lucas Ferreira
>>> Cc: Fernando Cima; owasp-brazilian at lists.owasp.org
>>> Subject: Re: [Owasp-brazilian] XSS é realmente uma vulnerabilidade?
>>>
>>> Lucas,
>>>
>>> eu estou considerando o XSS apenas como vetor pelo simples fato, nem
>>> sempre um XSS vai resultar na exploração de uma aplicação.
>>>
>>> Se a aplicação não tiver nenhuma outra vulnerabilidade, o máximo que o
>>> explorador vai conseguir é um "alert".
>>>
>>> Nos exemplos citados, todos precisam explorar algo (uma falha de
>>> sessão, uma falha de configuração) se não houver nenhuma
>>> vulnerabilidade desta, o XSS vai ser só um "alert".
>>>
>>> Cima,
>>>
>>> Se o XSS explorar o Same Origin Policy e executa uma transação em meu
>>> nome ele é um CSRF não?
>>>
>>> Abs.
>>>
>>> 2009/5/11 Lucas Ferreira <lucas.ferreira at gmail.com>:
>>>> Wagner,
>>>>
>>>> o que você quer dizer com vetor? Pelo que entendi, você está
>>>> argumentando que o XSS só permite a inserção de um script e que quem
>>>> faz o trabalho sujo é o script. Entendi corretamente?
>>>>
>>>> Quanto à questão do agente, a definição da CisspBR
>>>> (http://tech.groups.yahoo.com/group/cisspBR/files/Definicoes/) diz:
>>>>
>>>> "As vulnerabilidades não provocam sozinhas os incidentes de segurança,
>>>> pois são elementos passivos,
>>>> sendo necessário a ação de um agente ou condição favorável."
>>>>
>>>> ou senão:
>>>>
>>>> "Vulnerabilidade é uma falha em um ponto de entrada que possibilita o
>>>> comprometimento da
>>>> confidencialidade, integridade ou disponibilidade de um ativo de informação."
>>>>
>>>> Relendo a definição, ainda acho que XSS é uma vulnerabilidade.
>>>>
>>>> Inté,
>>>>
>>>> Lucas
>>>>
>>>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
>>>>> Pessoal,
>>>>>
>>>>> o fato de precisar de um agente, eu concordo, isso não diminui a
>>>>> criticidade da vulnerabilidade que é explorada pelo XSS.
>>>>>
>>>>> Pegue todos os exemplos que deram, em todos os casos o XSS não foi só o vetor?
>>>>>
>>>>> Em alguma situação um XSS sem uma outra vulnerabilidade faz alguma coisa?
>>>>>
>>>>> Lembro, eu apenas quero estressar esta questão, eu sei exatamente o
>>>>> que um XSS pode fazer, porém tenho estas "dúvidas"...rs...
>>>>>
>>>>> Abs.
>>>>>
>>>>> 2009/5/11 Fernando Cima <fcima at microsoft.com>:
>>>>>> Oi Wagner,
>>>>>>
>>>>>> XSS é uma forma de você fazer com que código Javascript seja executado no browser de um usuário, da mesma forma que um BO é uma forma de você fazer com que código nativo seja executado na máquina do usuário (ou em um servidor). O que torna o XSS eu acho ainda mais perigoso que o BO em alguns casos é que os dados - que é o que você realmente quer proteger - podem estar muito mais facilmente acessíveis a partir do browser do usuário do que de uma aplicação nativa.
>>>>>>
>>>>>> BO da mesma forma podem precisar de um "gatilho", especialmente os que são no lado client (por exemplo, o usuário tem que abrir um arquivo com o Office). Nem por isso eles deixam de ser vulnerabilidades importantes.
>>>>>>
>>>>>> Abraços,
>>>>>>
>>>>>> - Fernando Cima
>>>>>>
>>>>>> -----Original Message-----
>>>>>> From: owasp-brazilian-bounces at lists.owasp.org [mailto:owasp-brazilian-bounces at lists.owasp.org] On Behalf Of Wagner Elias
>>>>>> Sent: segunda-feira, 11 de maio de 2009 19:05
>>>>>> To: Thiago Zaninotti
>>>>>> Cc: owasp-brazilian at lists.owasp.org
>>>>>> Subject: Re: [Owasp-brazilian] XSS é realmente uma vulnerabilidade?
>>>>>>
>>>>>> Ops... Eu não afirmo que XSS NÃO é uma vulnerabilidade, mas acho que é muito
>>>>>> estardalhaço por uma coisa que é um "gatilho".
>>>>>>
>>>>>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
>>>>>>> Oi Thiago,
>>>>>>>
>>>>>>> um BF está lá e vc pode explorar, o XSS além de ser um vetor (como o
>>>>>>> BF) ainda precisa de um agente pra explorar a falha.
>>>>>>>
>>>>>>> É o tipo de discussão filosófica, semântica, mas eu queria ouvir a
>>>>>>> opinião de todos.
>>>>>>>
>>>>>>> Eu não afirmo que XSS é uma vulnerabilidade, mas acho que é muito
>>>>>>> estardalhaço por uma coisa que é um "gatilho".
>>>>>>>
>>>>>>> Usando o BF como exemplo, se você encontra um BF e você não consegue
>>>>>>> trigar a falha, você considera como uma falha de segurança?
>>>>>>>
>>>>>>> Abs
>>>>>>>
>>>>>>> 2009/5/11 Thiago Zaninotti <thiago at zaninotti.net>:
>>>>>>>> Caro Wagner,
>>>>>>>>
>>>>>>>> Buffer overflow é uma vulnerabilidade? Uma vulnerabilidade pode muito
>>>>>>>> bem ser um vetor de exploração. Buffer overflow sozinho não representa
>>>>>>>> nada (a não ser a quebra do fluxo de execução ou invocação de um
>>>>>>>> exception handler) -- é necessário modificar o endereço de retorno,
>>>>>>>> ponteiro de função, estrutura de memória ou algum registrador
>>>>>>>> importante para que alguma coisa aconteça.
>>>>>>>>
>>>>>>>> Enfim, XSS é uma vulnerabilidade sim e sua criticidade pode variar de
>>>>>>>> acordo com a capacidade de se explorá-la (ex: sites que não possuem
>>>>>>>> sessão ou autenticação). O fato do agente explorado não ser
>>>>>>>> diretamente a aplicação afetada (mas sim o seu cliente), não isenta a
>>>>>>>> "classificação de vulnerabilidade".
>>>>>>>>
>>>>>>>> Abraços,
>>>>>>>>
>>>>>>>> Thiago Zaninotti,Security+,CISSP-ISSAP,CISM,CSSLP
>>>>>>>> Sr. InfoSec Professional
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>> 2009/5/11 Wagner Elias <wagner.elias at gmail.com>:
>>>>>>>>> Pessoal,
>>>>>>>>>
>>>>>>>>> por favor, evitem flames, pois eu sei muito bem o que é um XSS.
>>>>>>>>>
>>>>>>>>> O que eu questiono é, XSS sozinho faz alguma coisa?
>>>>>>>>>
>>>>>>>>> Na minha opinião não.
>>>>>>>>>
>>>>>>>>> XSS pra mim é um vetor, ele sempre irá ser meio para explorar alguma
>>>>>>>>> vulnerabilidade. Sem contar que o próprio XSS necessita da interação
>>>>>>>>> de um outro agente.
>>>>>>>>>
>>>>>>>>> O que acham?
>>>>>>>>>
>>>>>>>>> Abs.
>>>>>>>>> --
>>>>>>>>> --------------------------------
>>>>>>>>> Wagner Elias
>>>>>>>>> http://wagnerelias.com
>>>>>>>>> _______________________________________________
>>>>>>>>> Owasp-brazilian mailing list
>>>>>>>>> Owasp-brazilian at lists.owasp.org
>>>>>>>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>>>>>>>>
>>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> --
>>>>>>> --------------------------------
>>>>>>> Wagner Elias
>>>>>>> http://wagnerelias.com
>>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>> --
>>>>>> --------------------------------
>>>>>> Wagner Elias
>>>>>> http://wagnerelias.com
>>>>>> _______________________________________________
>>>>>> Owasp-brazilian mailing list
>>>>>> Owasp-brazilian at lists.owasp.org
>>>>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>>>>>
>>>>>
>>>>>
>>>>>
>>>>> --
>>>>> --------------------------------
>>>>> Wagner Elias
>>>>> http://wagnerelias.com
>>>>> _______________________________________________
>>>>> Owasp-brazilian mailing list
>>>>> Owasp-brazilian at lists.owasp.org
>>>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>>>>
>>>>
>>>>
>>>>
>>>> --
>>>> If a tree falls in the forest and no one is around to see it, do the
>>>> other trees make fun of it?
>>>>
>>>
>>>
>>>
>>> --
>>> --------------------------------
>>> Wagner Elias
>>> http://wagnerelias.com
>>>
>>>
>>
>>
>>
>> --
>> --------------------------------
>> Wagner Elias
>> http://wagnerelias.com
>>
>>
>
>
>
> --
> --------------------------------
> Wagner Elias
> http://wagnerelias.com
>
>



-- 
--------------------------------
Wagner Elias
http://wagnerelias.com


More information about the Owasp-brazilian mailing list