Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Coma o bolo do "XSS game" do Google (2º DevInVale)

Fernando A. Damião
February 28, 2015
Programming
0
64

Coma o bolo do "XSS game" do Google (2º DevInVale)

Slides da lightning talk "Coma o bolo do "XSS game" do Google", ministrada no 2º DevInVale em 2015, no Co-necta Espaço de Coworking.

Resumo: "Em Maio de 2014 o Google liberou um "jogo", com seis níveis, onde o objetivo é entender e explorar vulnerabilidades Cross-Site Scripting (XSS). Esta palestra irá conceituar Cross-Site Scripting e demonstrar como vencer os seis níveis, onde ao fim teremos bolo (em ASCII art).".

Fernando A. Damião

February 28, 2015
Tweet

More Decks by Fernando A. Damião

See All by Fernando A. Damião
Pimp My Repository (SJC Lightning Talks Quarta Edição)
fadamiao
0
43
git-start: Começando no Git (BSides 8)
fadamiao
0
48
git-start: Começando no Git (CPBR7)
fadamiao
1
280
Desenvolvimento de métodos e aplicações para gerenciamento e monitoração do fluxo de dados para as aplicações do Programa EMBRACE
fadamiao
0
44
Um pouco de Desenvolvimento Web (vFECOMPO)
fadamiao
0
33

Other Decks in Programming

See All in Programming
Compose-View Interop in Practice (mDevCamp 2024)
stewemetal
0
160
Micro Frontends for Java Microservices - Utah JUG 2024
mraible
PRO
1
100
検証も兼ねて個人開発でHonoとかと向き合った話
hanetsuki
1
1.3k
Tailwind CSSを本気でカスタマイズする方法
fsubal
14
5.4k
Azure OpenAI Serviceのプロンプトエンジニアリング入門
tomokusaba
3
850
GitHub Actionsで泣かないためにやっておきたい設定 / Recommended GHA settings to avoid crying
pinkumohikan
3
560
Sheets API使ってみた
toshi0383
2
150
Let's learn code review
riofujimon
2
560
ServerAction で Progressive Enhancement はどこまで頑張れるか? / progressive-enhancement-with-server-action
takefumiyoshii
6
380
Implementing Design Systems in Swift
seyfoyun
0
370
0→1と1→10の狭間で Javaという技術選定を振り返る/Reflecting on the Decision to Choose Java Between Scaling from 0 to 1 and 1 to 10
jaguar_imo
2
400
Fast JSX: Don't clone props object #28768
yossydev
1
160

Featured

See All Featured
Thoughts on Productivity
jonyablonski
59
3.9k
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
dotmariusz
104
6.6k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
117
18k
Creatively Recalculating Your Daily Design Routine
revolveconf
211
11k
Rebuilding a faster, lazier Slack
samanthasiow
74
8.2k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
19
6.9k
Intergalactic Javascript Robots from Outer Space
tanoku
266
26k
Building a Scalable Design System with Sketch
lauravandoore
457
32k
The Invisible Customer
myddelton
114
12k
Imperfection Machines: The Place of Print at Facebook
scottboms
261
12k
Typedesign – Prime Four
hannesfritz
36
2.1k
Large-scale JavaScript Application Architecture
addyosmani
504
110k

Transcript

  1. COMA O BOLO DO “XSS GAME” DO GOOGLE por Fernando

    A. Damião 2º Encontro DevInVale 28 de Fevereiro de 2015

  2. SMALLINTABOUTME • Técnico em Informática pela ETEC Machado de Assis

    • Graduando em Ciência da Computação pelo IBTA • Mantenedor do guia colaborativo "git-start: Guia básico de Git" • Bolsista na Divisão de Desenvolvimento de Sistemas de Solo do INPE

  3. XSS “Falhas XSS ocorrem sempre que uma aplicação recebe dados

    não confiáveis e os envia ao navegador sem validação ou filtro adequados. XSS permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário, desfigurar sites, ou redirecionar o usuário para sites maliciosos.” - OWASP Top Ten 2013 PT-BR

  4. TIPOS DE XSS • Stored XSS ou Persistent XSS •

    Reflected XSS ou Non-Persistent XSS • DOM Based XSS

  5. DICAS • Desabilitar filtro XSS do Chrome • open -a

    "Google Chrome" --args —disable- xss-auditor • Tabela de ASCII "encodada" • http://www.ascii.cl/htmlcodes.html • “Conversor” para evasão de filtros • http://ha.ckers.org/xsscalc.html

  6. XSS GAME DO GOOGLE • Liberado em Maio de 2014

    • Foco em desenvolvedores que não possuem contato com segurança da informação • Possui 6 níveis, cada nível possui dicas • Permite ver o código fonte (Server side) • Acessível em http://xss-game.appspot.com

  7. LEVEL 1: HELLO, WORLD OF XSS

  8. LEVEL 2: PERSISTENCE IS KEY

  9. LEVEL 3: THAT SINKING FEELING

  10. LEVEL 4: CONTEXT MATTERS

  11. LEVEL 5: BREAKING PROTOCOL

  12. LEVEL 6: FOLLOW THE RABBIT

  13. None

  14. LINKS PARA SABER MAIS • OWASP - https://www.owasp.org/ index.php/Cross-site_Scripting_(XSS) •

    Google - http://www.google.com/about/ appsecurity/learning/xss/index.html • Pentester Academy (Últimos vídeos) - http:// www.pentesteracademy.com/course?id=8

  15. LINKS PARA TREINAR • DVWA - Damn Vulnerable Web Application

    - http://www.dvwa.co.uk • Google Gruyere - http://google-gruyere.appspot.com

  16. OBRIGADO A TODOS!!! =D smallintabout.me fa_damiao fadamiao