Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Badass XSS: Esqueça o alert e vá para mundo real

Daniel Marques
May 19, 2013
Technology
0
110

Badass XSS: Esqueça o alert e vá para mundo real

Co0L BSidesSP v5 (Mai/2013)

Você provavelmente já deve ter cansado de demonstrar XSS com aquela famosa janelinha de alert ou com códigos que não fazem sentido nenhum em ataques reais. Adicione aqui gerentes, diretores e clientes "low tech" que continuam sem entender o problema.

A palestra tem como objetivo trazer a diversão de volta para a exploração das falhas de XSS, mostrando maneiras diferentes de utilizá-las em cenários reais e tornar a demonstração mais interessantes para gerentes e diretores.

Em 2014, a palestra foi apresentada também no I Encontro do Capítulo Rio da OWASP.

Daniel Marques

May 19, 2013
Tweet

More Decks by Daniel Marques

See All by Daniel Marques
Kickstart Your Enterprise Red Team
0xc0da
0
110
Kickstarting your in-house Red Team: Challenges and approaches
0xc0da
1
640
The Red Teamer's Guide To Building A Program
0xc0da
0
370
A Song of Hashes and Dumps: What I've learned from cracking .br passwords
0xc0da
1
500
Python para Análises de Segurança (ERSI-2014)
0xc0da
1
85
Game of Hashes: Quebrando, passando e libertando senhas
0xc0da
0
260

Other Decks in Technology

See All in Technology
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
oracle4engineer
PRO
2
3.2k
Amazon CloudWatch Network Monitor のススメ
yuki_ink
1
210
Introduction to Works of ML Engineer in LY Corporation
lycorp_recruit_jp
0
140
Making your applications cross-environment - OSCG 2024 NA
salaboy
0
190
iOSチームとAndroidチームでブランチ運用が違ったので整理してます
sansantech
PRO
0
150
Why App Signing Matters for Your Android Apps - Android Bangkok Conference 2024
akexorcist
0
130
強いチームと開発生産性
onk
PRO
35
11k
第1回 国土交通省 データコンペ参加者向け勉強会③ - Snowflake x estie編 -
estie
0
130
AWS Lambdaと歩んだ“サーバーレス”と今後 #lambda_10years
yoshidashingo
1
180
インフラとバックエンドとフロントエンドをくまなく調べて遅いアプリを早くした件
tubone24
1
430
【Startup CTO of the Year 2024 / Audience Award】アセンド取締役CTO 丹羽健
niwatakeru
0
1.3k
ドメインの本質を掴む / Get the essence of the domain
sinsoku
2
160

Featured

See All Featured
Docker and Python
trallard
40
3.1k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
93
16k
Building Your Own Lightsaber
phodgson
103
6.1k
RailsConf 2023
tenderlove
29
900
Measuring & Analyzing Core Web Vitals
bluesmoon
4
130
Raft: Consensus for Rubyists
vanstee
136
6.6k
How To Stay Up To Date on Web Technology
chriscoyier
788
250k
Product Roadmaps are Hard
iamctodd
PRO
49
11k
Side Projects
sachag
452
42k
jQuery: Nuts, Bolts and Bling
dougneiner
61
7.5k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
356
29k
Music & Morning Musume
bryan
46
6.2k

Transcript

  1. None

  2. AVISO PADRÃO O conteúdo aqui apresentado representa minhas próprias conclusões

    e opiniões e não as de meus empregadores, clientes e etc. Não há intenção de causar nenhum danos a terceiros. A utilização do conteúdo apresentado é fruto de pesquisa e deve ser utilizado apenas em ambientes autorizados.

  3. /me @0xc0da != rockstar de SegInfo = dedo podre para

    quebrar coisas == alguém que gosta de compartilhar coisas == fã de Danny Trejo

  4. Premissas Todos sabemos o que é Cross Site Scripting (XSS).

    Nada de evasão de filtros hoje, galera. Nada de über1337h4x0rninjaskillz. Vamos do jeito “fácil” dessa vez. ;-)

  5. Um dia você encontrou um XSS medonho em uma aplicação.

  6. E apresentou assim

  7. Provavelmente reagiram assim.

  8. None

  9. Vamos nos divertir um pouco mais?

  10. All your forms are belong to us I.

  11. Então você tem um formulário de login.

  12. None

  13. E um XSS.

  14. None

  15. Por que um alert quando você... Pode redirecionar o formulário?

  16. Por que um alert quando você... Pode usar um keylogger?

  17. Advanced Persistent Threats II.

  18. Um cenário interessante, de um teste real.

  19. Informações do cookie eram utilizadas na página.

  20. None

  21. Sem filtro, claro. E havia outra vulnerabilidade, que permitia acessar

    o cookie.

  22. Já mencionei que eu gosto de compartilhar?

  23. Por que um alert quando você... Pode compartilhar uma aba?

  24. Uma história sobre botões de download.

  25. *Krzysztof Kotowicz – Hack In Paris 2012 Pode compartilhar arquivos*?

    Por que um alert quando você...

  26. Amarrando tudo*... *Apenas Chrome (até agora)

  27. Shells e todas aquelas coisas legais III.

  28. Você ainda quer Shell?

  29. Sem problemas!

  30. None

  31. Por que um alert quando você... Pode explorar um 0day

    do JAVA todo mês?

  32. Por que um alert quando você... Pode fazer um port

    scan, usar o navegador como proxy e lançar ataques como o usuário?

  33. Ferramentas como BeEF e xssf podem ajudar a manipular o

    navegador do usuário.
  34. None

  35. Mais algumas dicas IV.

  36. Dica #1 Queremos ser o discretos. Deixar o código limpo

    ajuda, ok?

  37. Dica #2 Shell não é tudo. Criar usuários, enviar mensagens

    e acessar dados também pode ser interessante

  38. Dica #3 Não se restrinja a interface web. Mobile Apps

    também podem ser vetores interessantes de ataque.

  39. Obrigado! @0xc0da codalabs.net /0xc0da

  40. Agradecimentos especiais Esta palestra não seria possível sem a colaboração

    de algumas pessoas, em especial minha namorada Renata Senna (design da capa e fundo dos slides), os amigos Vanessa Maia, Sávio Mendes, Alexandre Pinaffi, Alan Markus, Jaime Souza, Tiago Bitarelli Gomes e Eduardo França. Meu muito obrigado também a equipe da Bsides SP pela dedicação e execução do evento.