Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Badass XSS: Esqueça o alert e vá para mundo real

Daniel Marques
May 19, 2013
Technology
0
85

Badass XSS: Esqueça o alert e vá para mundo real

Co0L BSidesSP v5 (Mai/2013)

Você provavelmente já deve ter cansado de demonstrar XSS com aquela famosa janelinha de alert ou com códigos que não fazem sentido nenhum em ataques reais. Adicione aqui gerentes, diretores e clientes "low tech" que continuam sem entender o problema.

A palestra tem como objetivo trazer a diversão de volta para a exploração das falhas de XSS, mostrando maneiras diferentes de utilizá-las em cenários reais e tornar a demonstração mais interessantes para gerentes e diretores.

Em 2014, a palestra foi apresentada também no I Encontro do Capítulo Rio da OWASP.

Daniel Marques

May 19, 2013
Tweet

More Decks by Daniel Marques

See All by Daniel Marques
Kickstart Your Enterprise Red Team
0xc0da
0
36
Kickstarting your in-house Red Team: Challenges and approaches
0xc0da
0
580
The Red Teamer's Guide To Building A Program
0xc0da
0
330
A Song of Hashes and Dumps: What I've learned from cracking .br passwords
0xc0da
1
490
Python para Análises de Segurança (ERSI-2014)
0xc0da
0
85
Game of Hashes: Quebrando, passando e libertando senhas
0xc0da
0
250

Other Decks in Technology

See All in Technology
Max out Local LLM in Challenging Environments
sashimimochi
1
110
Google Cloud Next '24でブログを10本書いた方法と勉強会を沸かせた方法
yasumuusan
0
330
[新卒向け研修資料] テスト文字列に「うんこ」と入れるな(2024年版)
infiniteloop_inc
5
18k
R3のコードから見る実践LINQ実装最適化・コンカレントプログラミング実例
neuecc
3
2.4k
推しは推せるときに推せ! プロダクトにフィードバックしていこう
nakasho
0
460
require(ESM)とECMAScript仕様
uhyo
4
960
開発パフォーマンスを最大化するための開発体制
ham0215
7
1.1k
Gitlab本から学んだこと - そーだいなるプレイバック / gitlab-book
soudai
7
1.3k
AOAI をきっかけに​ 社内の Azure 管理を見直した話​
recruitengineers
PRO
1
450
「スニダン」開発組織の構造に込めた意図 ~組織作りはパッションや政治ではない!~
rinchsan
4
610
VSCodeの拡張機能を作っている話
ebarakazuhiro
1
800
AWSに詳しくない人でも始められるコスト最適化ガイド
yuhta28
2
380

Featured

See All Featured
Rebuilding a faster, lazier Slack
samanthasiow
74
8.2k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
41
4.4k
Principles of Awesome APIs and How to Build Them.
keavy
121
16k
Testing 201, or: Great Expectations
jmmastey
30
6.4k
What the flash - Photography Introduction
edds
64
11k
Web development in the modern age
philhawksworth
203
10k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
26
2.3k
Robots, Beer and Maslow
schacon
PRO
155
7.9k
Web Components: a chance to create the future
zenorocha
306
41k
Build The Right Thing And Hit Your Dates
maggiecrowley
25
2k
Atom: Resistance is Futile
akmur
260
25k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
275
13k

Transcript

  1. None

  2. AVISO PADRÃO O conteúdo aqui apresentado representa minhas próprias conclusões

    e opiniões e não as de meus empregadores, clientes e etc. Não há intenção de causar nenhum danos a terceiros. A utilização do conteúdo apresentado é fruto de pesquisa e deve ser utilizado apenas em ambientes autorizados.

  3. /me @0xc0da != rockstar de SegInfo = dedo podre para

    quebrar coisas == alguém que gosta de compartilhar coisas == fã de Danny Trejo

  4. Premissas Todos sabemos o que é Cross Site Scripting (XSS).

    Nada de evasão de filtros hoje, galera. Nada de über1337h4x0rninjaskillz. Vamos do jeito “fácil” dessa vez. ;-)

  5. Um dia você encontrou um XSS medonho em uma aplicação.

  6. E apresentou assim

  7. Provavelmente reagiram assim.

  8. None

  9. Vamos nos divertir um pouco mais?

  10. All your forms are belong to us I.

  11. Então você tem um formulário de login.

  12. None

  13. E um XSS.

  14. None

  15. Por que um alert quando você... Pode redirecionar o formulário?

  16. Por que um alert quando você... Pode usar um keylogger?

  17. Advanced Persistent Threats II.

  18. Um cenário interessante, de um teste real.

  19. Informações do cookie eram utilizadas na página.

  20. None

  21. Sem filtro, claro. E havia outra vulnerabilidade, que permitia acessar

    o cookie.

  22. Já mencionei que eu gosto de compartilhar?

  23. Por que um alert quando você... Pode compartilhar uma aba?

  24. Uma história sobre botões de download.

  25. *Krzysztof Kotowicz – Hack In Paris 2012 Pode compartilhar arquivos*?

    Por que um alert quando você...

  26. Amarrando tudo*... *Apenas Chrome (até agora)

  27. Shells e todas aquelas coisas legais III.

  28. Você ainda quer Shell?

  29. Sem problemas!

  30. None

  31. Por que um alert quando você... Pode explorar um 0day

    do JAVA todo mês?

  32. Por que um alert quando você... Pode fazer um port

    scan, usar o navegador como proxy e lançar ataques como o usuário?

  33. Ferramentas como BeEF e xssf podem ajudar a manipular o

    navegador do usuário.
  34. None

  35. Mais algumas dicas IV.

  36. Dica #1 Queremos ser o discretos. Deixar o código limpo

    ajuda, ok?

  37. Dica #2 Shell não é tudo. Criar usuários, enviar mensagens

    e acessar dados também pode ser interessante

  38. Dica #3 Não se restrinja a interface web. Mobile Apps

    também podem ser vetores interessantes de ataque.

  39. Obrigado! @0xc0da codalabs.net /0xc0da

  40. Agradecimentos especiais Esta palestra não seria possível sem a colaboração

    de algumas pessoas, em especial minha namorada Renata Senna (design da capa e fundo dos slides), os amigos Vanessa Maia, Sávio Mendes, Alexandre Pinaffi, Alan Markus, Jaime Souza, Tiago Bitarelli Gomes e Eduardo França. Meu muito obrigado também a equipe da Bsides SP pela dedicação e execução do evento.