Comments on: Site de teste da Ajato (TVA) revela informações do usuário

By: Adilson

Adilson — Tue, 23 Feb 2010 12:09:26 +0000

Bom dia Gabriel,

Agora entendi, não havia pensado nos links maliciosos.

Parabéns pelo site e sempre estarei vendo aqui para ver sobre novidades de segurança.

Grato

By: Gabriel Coutinho de Lima

Gabriel Coutinho de Lima — Tue, 23 Feb 2010 00:49:33 +0000

Adilson,
É como comentei acima. Trata-se de um XSS refletido, por tanto, precisa de um fator que ative-o, seja passando um link alterado à vitima, ou mantendo o código que ativa o link com o exploit em algum website que a vitima deve acessar.
XSS que são mantidos em sites são os permanentes\armazenados. Esses sim, bastaria o usuário normalmente acessar a página em que o código foi “injetado”, mas não é o caso.

By: Adilson

Adilson — Mon, 22 Feb 2010 16:07:20 +0000

Boa Tarde Gabriel,

Acho que não estou entendo bem XSS, teria algum link para me recomendar?

Pois estou com dificuldade em entender como um iframe embutido no site te traria informações de outras pessoas. Já que se você desse um “Atualizar” na página, seu iframe ja não estaria mais la. A não ser que tenha algum cache por parte do servidor, ou algo assim.

Grato

By: Phil

Phil — Fri, 19 Feb 2010 21:08:51 +0000

Olá, passei por acaso nesse post logo depois de fazer o test de velocidade! Fiquei preocupado lógico, e me perguntando se vocês costumam informar os fornecedores de acessos desse tipo de falhas ou deixam a iniciativa para os leitores e clientes revoltados desses FA.

By: Gabriel Coutinho de Lima

Gabriel Coutinho de Lima — Fri, 19 Feb 2010 19:57:08 +0000

Adilson,
Por ser um xss refletido, seria necessário ter um código como um iframe em uma página, e a vítima deveria acessar esta página. O exemplo está no link da PoC: http://www.falandodeseguranca.com/exemplo/ajato.html . Com o código que esta nesse html, já seria possível um script php oculto gravar todas as informações da ajato DA VÍTIMA QUE ENTROU NO LINK. Onde for possível adicionar html (para o iframe), seria possível obter esses dados dos usuarios, de forma oculta.
Lembre-se, não é um SQL Injection ou qualquer outra técnica que esteja expondo informações do banco de dados de clientes, mas sim um XSS refletido, que, com o código do exploit, nos dá as informações especificas da vitima que acessou.

By: Adilson

Adilson — Fri, 19 Feb 2010 17:15:26 +0000

Boa Tarde amigo,

Curti muito o seu tutorial, só fiquei com a seguinte dúvida:

“Se os dados passados pela URL não estão sendo gravados, como esse XSS pegaria os dados de outra pessoa, a não ser os dela mesma”?

Grato

By: Neres

Neres — Tue, 19 Jan 2010 18:16:52 +0000

Agora sim tores entenderes tudo!

Parabens pelo site!

By: Wellington

Wellington — Sat, 05 Dec 2009 18:03:46 +0000

Parabéns pelo vídeo, muito bom .

Agora entendi o que é um ataque XSS e uma ideia do que pode ser feito

By: Raul

Raul — Thu, 03 Dec 2009 16:16:57 +0000

parabens ai por mais um video, e nao me arrependi nada de ter gasto meus preciosos 20 e pocos minutos assistindo…

vlw msmo… deu pra aproveitar varias outras coisas…

e o ajato vacilou legal com seus clientes…
acho eu que qualquer 1 devia somente mostrar as informações que o cliente ou usuario do site solicita-se. Ele solicitou a velocidade? Só mostra a velocidade…

Deve ser alguém que pensou assim: “Eu sei como pegar varias informações do cara então vou mostrar que sei.”.