XSS Injection ou Cross Site Scripting e seus perigos

Breve Apresentação:
Mauricio Pampim Corrêa
Diretor da empresa xlabs security.
Cursos:
•Técnico em Hardware e Redes pela Exattus;
•Curso preparatório para o Cisco CCNA pela Fundação Bradesco;
•Curso de Segurança da Informação pela Fundação Bradesco;
•Atualmente cursando Ciência da Computação na UNISINOS;
Hobby:
Trabalhando na descoberta de novas vulnerabilidades e desenvolvendo
softwares para detecção e estudos de vírus de computador e falhas em
sistemas.

Cross Site Scripting ou XSS Injection
• Vulnerabilidade crítica em sistemas Web;
• Vulnerabilidade em grande maioria Client Side;
• Casualmente Server-Side;
• Vulnerabilidade mais encontrada em sistemas web;
• Por que é considerada crítica?
• O que empresas vem fazendo para evitar estes tipos de ataques?
• O que as empresas devem fazer?

Exemplos
Exemplo de aplicação vulnerável:

Formas de detecção
Teste padrão <teste> :

Código fonte da aplicação exibindo <teste> :

Possível Payload(código para verificação ou exploração da falha):
xss_reflected.jsp?Search=internet<script>alert("XSS injection xlabs")</script>

Exibição da mensagem de alerta confirmando a existência da vulnerabilidade:

Código fonte da aplicação para a confirmação de que o Payload foi bem inserido:

Tipos de ataque:
-Armazenado ou Persistente ( Stored or Persistent );
-Refletido ( Reflected );

Encurtadores de URL

De mocinho a vilão em alguns dribles

Encurtadores que ainda aceitam Scripts em Links:
http://link.zip.net/ : http://zip.net/btlwdt
http://goo.gl/ : http://goo.gl/C75EOf
https://bitly.com/ : http://bit.ly/I5C60U
Dentre outros...

FAIL

Tipos de ataque
Armazenado ou Persistente:

Servidor web vulnerável

Atacante

Internet
Vítima 1
Vítima 2

Tipos de ataque
Refletido:

Servidor web vulnerável
Atacante

Internet
Vítima 1

Vítima 2

Casos onde foi utilizada
Caso de invasão da fundação Apache em 2010,
onde foi utilizada uma falha na aplicação JIRA:
“Os invasores postaram um relato de erro pela interface do JIRA no dia 5 de abril.
O relato tinha um link que apontava para um endereço do TinyURL.” g1.globo.com
• Refletido*

Mais encontrada em sistemas web
Segundo a organização webappsec.org o Cross Site Scripting
é a falha mais comum encontrada em sistemas web, ficando com a fatia de 39%
passando a frente de vazamento de informações com 32%, de SQL injection 7% e outras
falhas encontradas em sistemas web.

Terceira de maior risco no Top Ten
OWASP 2013
Segundo a organização OWASP, ela se classifica no Top Ten 2013 como a
Terceira de maior risco.

Quais os possíveis ataques?
Roubo de sessão, através do roubo de Cookies do navegador
do usuário.

Execução de comandos:

Por que terceira de maior risco?
Conforme podemos ver no vídeo a seguir, a vulnerabilidade
possibilita a execução de comandos em clientes do web-site
afetado.

As empresas e o XSS Injection
Maioria das empresas:
• Nunca falaram;
• Nunca viram;
• Nunca ouviram falar;
Motivos:
• Foco total nos negócios;
• Curtos prazos;
• Falta de cultura na segurança;
• Falsa sensação de segurança;

O que empresas devem fazer?
• Criar uma equipe de segurança ou contratação de SOC terceirizado especializado;
• Contratar empresas especializadas em Pentest;
• Treinar funcionários e desenvolvedores internos;
• Adquirir a cultura da segurança da informação;

Web-site e referências
Website XLabs: www.xlabs.com.br
Nosso blog: www.xlabs.com.br/blog
OWASP: www.owasp.org
Metasploit: www.metasploit.com
XSSF: code.google.com/p/xssf/

XSS Injection ou Cross Site Scripting e seus perigos

Mais conteúdo relacionado

Mais procurados (10)

Semelhante a XSS Injection ou Cross Site Scripting e seus perigos (20)

Último (16)

XSS Injection ou Cross Site Scripting e seus perigos