O documento discute a vulnerabilidade XSS Injection, incluindo como é a vulnerabilidade mais comum em sistemas web, os tipos de ataque como armazenado e refletido, e as ações que empresas devem tomar como contratar especialistas em segurança e treinar funcionários.

1. XSS Injection e seus perigos

2. Breve Apresentação:
Mauricio Pampim Corrêa
Diretor da empresa xlabs security.
Cursos:
•Técnico em Hardware e Redes pela Exattus;
•Curso preparatório para o Cisco CCNA pela Fundação Bradesco;
•Curso de Segurança da Informação pela Fundação Bradesco;
•Atualmente cursando Ciência da Computação na UNISINOS;
Hobby:
Trabalhando na descoberta de novas vulnerabilidades e desenvolvendo
softwares para detecção e estudos de vírus de computador e falhas em
sistemas.

3. Cross Site Scripting ou XSS Injection
• Vulnerabilidade crítica em sistemas Web;
• Vulnerabilidade em grande maioria Client Side;
• Casualmente Server-Side;
• Vulnerabilidade mais encontrada em sistemas web;
• Por que é considerada crítica?
• O que empresas vem fazendo para evitar estes tipos de ataques?
• O que as empresas devem fazer?

4. Exemplos
Exemplo de aplicação vulnerável:

5. Formas de detecção
Teste padrão <teste> :

6. Formas de detecção
Código fonte da aplicação exibindo <teste> :
Possível Payload(código para verificação ou exploração da falha):
xss_reflected.jsp?Search=internet<script>alert("XSS injection xlabs")</script>

7. Formas de detecção
Exibição da mensagem de alerta confirmando a existência da vulnerabilidade:

8. Formas de detecção
Código fonte da aplicação para a confirmação de que o Payload foi bem inserido:
Tipos de ataque:
-Armazenado ou Persistente ( Stored or Persistent );
-Refletido ( Reflected );

9. Encurtadores de URL
De mocinho a vilão em alguns dribles
Encurtadores que ainda aceitam Scripts em Links:
http://link.zip.net/ : http://zip.net/btlwdt
http://goo.gl/ : http://goo.gl/C75EOf
https://bitly.com/ : http://bit.ly/I5C60U
Dentre outros...
FAIL

10. Tipos de ataque
Armazenado ou Persistente:
Servidor web vulnerável
Atacante
Internet
Vítima 1
Vítima 2

11. Tipos de ataque
Refletido:
Servidor web vulnerável
Atacante
Internet
Vítima 1
Vítima 2

12. Casos onde foi utilizada
Caso de invasão da fundação Apache em 2010,
onde foi utilizada uma falha na aplicação JIRA:
“Os invasores postaram um relato de erro pela interface do JIRA no dia 5 de abril.
O relato tinha um link que apontava para um endereço do TinyURL.” g1.globo.com
• Refletido*

13. Mais encontrada em sistemas web
Segundo a organização webappsec.org o Cross Site Scripting
é a falha mais comum encontrada em sistemas web, ficando com a fatia de 39%
passando a frente de vazamento de informações com 32%, de SQL injection 7% e outras
falhas encontradas em sistemas web.

14. Terceira de maior risco no Top Ten
OWASP 2013
Segundo a organização OWASP, ela se classifica no Top Ten 2013 como a
Terceira de maior risco.

15. Quais os possíveis ataques?
Roubo de sessão, através do roubo de Cookies do navegador
do usuário.
Execução de comandos:

16. Por que terceira de maior risco?
Conforme podemos ver no vídeo a seguir, a vulnerabilidade
possibilita a execução de comandos em clientes do web-site
afetado.

17. As empresas e o XSS Injection
Maioria das empresas:
• Nunca falaram;
• Nunca viram;
• Nunca ouviram falar;
Motivos:
• Foco total nos negócios;
• Curtos prazos;
• Falta de cultura na segurança;
• Falsa sensação de segurança;

18. O que empresas devem fazer?
• Criar uma equipe de segurança ou contratação de SOC terceirizado especializado;
• Contratar empresas especializadas em Pentest;
• Treinar funcionários e desenvolvedores internos;
• Adquirir a cultura da segurança da informação;

19. Web-site e referências
Website XLabs: www.xlabs.com.br
Nosso blog: www.xlabs.com.br/blog
OWASP: www.owasp.org
Metasploit: www.metasploit.com
XSSF: code.google.com/p/xssf/