xss injection ou cross site scripting e seus perigos
DESCRIPTION
XSS Injection ou Cross Site Scripting e seus perigos palestra de Mauricio CorrêaTRANSCRIPT
![Page 1: XSS Injection ou Cross Site Scripting e seus perigos](https://reader035.vdocuments.net/reader035/viewer/2022081508/55760726d8b42a0d5e8b45d0/html5/thumbnails/1.jpg)
XSS Injection e seus perigos
![Page 2: XSS Injection ou Cross Site Scripting e seus perigos](https://reader035.vdocuments.net/reader035/viewer/2022081508/55760726d8b42a0d5e8b45d0/html5/thumbnails/2.jpg)
Breve Apresentação:
Mauricio Pampim CorrêaDiretor da empresa xlabs security.
Cursos:•Técnico em Hardware e Redes pela Exattus;•Curso preparatório para o Cisco CCNA pela Fundação Bradesco;•Curso de Segurança da Informação pela Fundação Bradesco;•Atualmente cursando Ciência da Computação na UNISINOS;
Hobby:Trabalhando na descoberta de novas vulnerabilidades e desenvolvendo softwares para detecção e estudos de vírus de computador e falhas em sistemas.
![Page 3: XSS Injection ou Cross Site Scripting e seus perigos](https://reader035.vdocuments.net/reader035/viewer/2022081508/55760726d8b42a0d5e8b45d0/html5/thumbnails/3.jpg)
Cross Site Scripting ou XSS Injection• Vulnerabilidade crítica em sistemas Web;
• Vulnerabilidade em grande maioria Client Side;
• Casualmente Server-Side;
• Vulnerabilidade mais encontrada em sistemas web;
• Por que é considerada crítica?
• O que empresas vem fazendo para evitar estes tipos de
ataques?
• O que as empresas devem fazer?
![Page 4: XSS Injection ou Cross Site Scripting e seus perigos](https://reader035.vdocuments.net/reader035/viewer/2022081508/55760726d8b42a0d5e8b45d0/html5/thumbnails/4.jpg)
Exemplos
Exemplo de aplicação vulnerável:
![Page 5: XSS Injection ou Cross Site Scripting e seus perigos](https://reader035.vdocuments.net/reader035/viewer/2022081508/55760726d8b42a0d5e8b45d0/html5/thumbnails/5.jpg)
Formas de detecção
Teste padrão <teste> :
![Page 6: XSS Injection ou Cross Site Scripting e seus perigos](https://reader035.vdocuments.net/reader035/viewer/2022081508/55760726d8b42a0d5e8b45d0/html5/thumbnails/6.jpg)
Formas de detecção
Código fonte da aplicação exibindo <teste> :
Possível Payload(código para verificação ou exploração da falha):
xss_reflected.jsp?Search=internet<script>alert("XSS injection xlabs")</script>
![Page 7: XSS Injection ou Cross Site Scripting e seus perigos](https://reader035.vdocuments.net/reader035/viewer/2022081508/55760726d8b42a0d5e8b45d0/html5/thumbnails/7.jpg)
Formas de detecção
Exibição da mensagem de alerta confirmando a existência da vulnerabilidade:
![Page 8: XSS Injection ou Cross Site Scripting e seus perigos](https://reader035.vdocuments.net/reader035/viewer/2022081508/55760726d8b42a0d5e8b45d0/html5/thumbnails/8.jpg)
Formas de detecção
Código fonte da aplicação para a confirmação de que o Payload foi bem inserido:
Tipos de ataque:
-Armazenado ou Persistente ( Stored or Persistent );-Refletido ( Reflected );
![Page 9: XSS Injection ou Cross Site Scripting e seus perigos](https://reader035.vdocuments.net/reader035/viewer/2022081508/55760726d8b42a0d5e8b45d0/html5/thumbnails/9.jpg)
Encurtadores de URLDe mocinho a vilão em alguns dribles
Encurtadores que ainda aceitam Scripts em Links:
http://link.zip.net/ : http://zip.net/btlwdthttp://goo.gl/ : http://goo.gl/C75EOfhttps://bitly.com/ : http://bit.ly/I5C60U
Dentre outros...
FAIL
![Page 10: XSS Injection ou Cross Site Scripting e seus perigos](https://reader035.vdocuments.net/reader035/viewer/2022081508/55760726d8b42a0d5e8b45d0/html5/thumbnails/10.jpg)
Tipos de ataque
Armazenado ou Persistente:
Servidor web vulnerávelAtacante
Vítima 1
Vítima 2
Internet
![Page 11: XSS Injection ou Cross Site Scripting e seus perigos](https://reader035.vdocuments.net/reader035/viewer/2022081508/55760726d8b42a0d5e8b45d0/html5/thumbnails/11.jpg)
Tipos de ataque
Refletido:
Atacante
Vítima 1
Vítima 2
Servidor web vulnerável
Internet
![Page 12: XSS Injection ou Cross Site Scripting e seus perigos](https://reader035.vdocuments.net/reader035/viewer/2022081508/55760726d8b42a0d5e8b45d0/html5/thumbnails/12.jpg)
Casos onde foi utilizada
Caso de invasão da fundação Apache em 2010, onde foi utilizada uma falha na aplicação JIRA:
“Os invasores postaram um relato de erro pela interface do JIRA no dia 5 de abril. O relato tinha um link que apontava para um endereço do TinyURL.” g1.globo.com
• Refletido*
![Page 13: XSS Injection ou Cross Site Scripting e seus perigos](https://reader035.vdocuments.net/reader035/viewer/2022081508/55760726d8b42a0d5e8b45d0/html5/thumbnails/13.jpg)
Mais encontrada em sistemas web
Segundo a organização webappsec.org o Cross Site Scripting é a falha mais comum encontrada em sistemas web, ficando com a fatia de 39%passando a frente de vazamento de informações com 32%, de SQL injection 7% e outrasfalhas encontradas em sistemas web.
![Page 14: XSS Injection ou Cross Site Scripting e seus perigos](https://reader035.vdocuments.net/reader035/viewer/2022081508/55760726d8b42a0d5e8b45d0/html5/thumbnails/14.jpg)
Terceira de maior risco no Top Ten OWASP 2013
Segundo a organização OWASP, ela se classifica no Top Ten 2013 como a Terceira de maior risco.
![Page 15: XSS Injection ou Cross Site Scripting e seus perigos](https://reader035.vdocuments.net/reader035/viewer/2022081508/55760726d8b42a0d5e8b45d0/html5/thumbnails/15.jpg)
Quais os possíveis ataques?Roubo de sessão, através do roubo de Cookies do navegador do usuário.
Execução de comandos:
![Page 16: XSS Injection ou Cross Site Scripting e seus perigos](https://reader035.vdocuments.net/reader035/viewer/2022081508/55760726d8b42a0d5e8b45d0/html5/thumbnails/16.jpg)
Por que terceira de maior risco?
Conforme podemos ver no vídeo a seguir, a vulnerabilidade possibilita a execução de comandos em clientes do web-site afetado.
![Page 17: XSS Injection ou Cross Site Scripting e seus perigos](https://reader035.vdocuments.net/reader035/viewer/2022081508/55760726d8b42a0d5e8b45d0/html5/thumbnails/17.jpg)
As empresas e o XSS Injection
• Nunca falaram;• Nunca viram;• Nunca ouviram falar;
Maioria das empresas:
• Foco total nos negócios;• Curtos prazos;• Falta de cultura na segurança;• Falsa sensação de segurança;
Motivos:
![Page 18: XSS Injection ou Cross Site Scripting e seus perigos](https://reader035.vdocuments.net/reader035/viewer/2022081508/55760726d8b42a0d5e8b45d0/html5/thumbnails/18.jpg)
O que empresas devem fazer?
• Criar uma equipe de segurança ou contratação de SOC terceirizado especializado;• Contratar empresas especializadas em Pentest;• Treinar funcionários e desenvolvedores internos;• Adquirir a cultura da segurança da informação;
![Page 19: XSS Injection ou Cross Site Scripting e seus perigos](https://reader035.vdocuments.net/reader035/viewer/2022081508/55760726d8b42a0d5e8b45d0/html5/thumbnails/19.jpg)
Web-site e referências
Website XLabs: www.xlabs.com.brNosso blog: www.xlabs.com.br/blog
OWASP: www.owasp.orgMetasploit: www.metasploit.comXSSF: code.google.com/p/xssf/