XSS Injection e seus perigos

Breve Apresentação:

Mauricio Pampim CorrêaDiretor da empresa xlabs security.

Cursos:•Técnico em Hardware e Redes pela Exattus;•Curso preparatório para o Cisco CCNA pela Fundação Bradesco;•Curso de Segurança da Informação pela Fundação Bradesco;•Atualmente cursando Ciência da Computação na UNISINOS;

Hobby:Trabalhando na descoberta de novas vulnerabilidades e desenvolvendo softwares para detecção e estudos de vírus de computador e falhas em sistemas.

Cross Site Scripting ou XSS Injection• Vulnerabilidade crítica em sistemas Web;

• Vulnerabilidade em grande maioria Client Side;

• Casualmente Server-Side;

• Vulnerabilidade mais encontrada em sistemas web;

• Por que é considerada crítica?

• O que empresas vem fazendo para evitar estes tipos de

ataques?

• O que as empresas devem fazer?

Exemplos

Exemplo de aplicação vulnerável:

Formas de detecção

Teste padrão <teste> :

Formas de detecção

Código fonte da aplicação exibindo <teste> :

Possível Payload(código para verificação ou exploração da falha):

xss_reflected.jsp?Search=internet<script>alert("XSS injection xlabs")</script>

Formas de detecção

Exibição da mensagem de alerta confirmando a existência da vulnerabilidade:

Formas de detecção

Código fonte da aplicação para a confirmação de que o Payload foi bem inserido:

Tipos de ataque:

-Armazenado ou Persistente ( Stored or Persistent );-Refletido ( Reflected );

Encurtadores de URLDe mocinho a vilão em alguns dribles

Encurtadores que ainda aceitam Scripts em Links:

http://link.zip.net/ : http://zip.net/btlwdthttp://goo.gl/ : http://goo.gl/C75EOfhttps://bitly.com/ : http://bit.ly/I5C60U

Dentre outros...

FAIL

Tipos de ataque

Armazenado ou Persistente:

Servidor web vulnerávelAtacante

Vítima 1

Vítima 2

Internet

Tipos de ataque

Refletido:

Atacante

Vítima 1

Vítima 2

Servidor web vulnerável

Internet

Casos onde foi utilizada

Caso de invasão da fundação Apache em 2010, onde foi utilizada uma falha na aplicação JIRA:

“Os invasores postaram um relato de erro pela interface do JIRA no dia 5 de abril. O relato tinha um link que apontava para um endereço do TinyURL.” g1.globo.com

• Refletido*

Mais encontrada em sistemas web

Segundo a organização webappsec.org o Cross Site Scripting é a falha mais comum encontrada em sistemas web, ficando com a fatia de 39%passando a frente de vazamento de informações com 32%, de SQL injection 7% e outrasfalhas encontradas em sistemas web.

Terceira de maior risco no Top Ten OWASP 2013

Segundo a organização OWASP, ela se classifica no Top Ten 2013 como a Terceira de maior risco.

Quais os possíveis ataques?Roubo de sessão, através do roubo de Cookies do navegador do usuário.

Execução de comandos:

Por que terceira de maior risco?

Conforme podemos ver no vídeo a seguir, a vulnerabilidade possibilita a execução de comandos em clientes do web-site afetado.

As empresas e o XSS Injection

• Nunca falaram;• Nunca viram;• Nunca ouviram falar;

Maioria das empresas:

• Foco total nos negócios;• Curtos prazos;• Falta de cultura na segurança;• Falsa sensação de segurança;

Motivos:

O que empresas devem fazer?

• Criar uma equipe de segurança ou contratação de SOC terceirizado especializado;• Contratar empresas especializadas em Pentest;• Treinar funcionários e desenvolvedores internos;• Adquirir a cultura da segurança da informação;

Web-site e referências

Website XLabs: www.xlabs.com.brNosso blog: www.xlabs.com.br/blog

OWASP: www.owasp.orgMetasploit: www.metasploit.comXSSF: code.google.com/p/xssf/