[Owasp-brazilian] XSS é realmente uma vulnerabilidade?

Wagner Elias wagner.elias at gmail.com
Thu May 14 14:17:24 EDT 2009


Esta imagem (http://2.bp.blogspot.com/_JdybrokZBAk/SejncBzDDAI/AAAAAAAABZ0/dJdN2b0q2Nk/s1600-h/catalyst.png)
do Jeremiah Grossman clareia um pouco "as minhas loucuras" sobre XSS.
http://jeremiahgrossman.blogspot.com/2009/04/website-threats-and-their-capabilities.html

Atenção aos detalhes, agente (usuário que sofrerá o ataque
client-side), vetor (XSS), vulnerabilidade (falha na gestão de
sessão), que só será explorada se não houver um controle.

Abs.

2009/5/14 Fernando Cima <fcima at microsoft.com>:
> Oi Wagner,
>
>> eu não tenho esse diploma, por isso nem respondi naquela thread. :(
>
> Após três longos anos eu obtive a minha certificação de "ex-CISSP", que me rende US$85 todo ano.
>
>>Eu usei esta frase: "Ok, se considerarmos que ausência de controle não
>>é vulnerabilidade,
>>concordo com você."
>
> Estamos entrando no terreno semantico aqui, mas voce tem razão. XSS não é uma vulnerabilidade, é um ataque. A vulnerabilidade pode ser não fazer input sanitization, não fazer output sanitization, etc.
>
> Abraços,
>
> - Fernando Cima
>



-- 
--------------------------------
Wagner Elias
http://wagnerelias.com


More information about the Owasp-brazilian mailing list