» Menu

» Últimos artigos

Escritório 100% GNU/Linux: viável e econômico Converter VMs GNU/Linux XenServer (paravirtualizada) para VMware ESXi 5 Tutorial de instalação do Squid no CentOS Tomcat com URL limpa IPv6, DNSv6 e DHCPv6 MiniDLNA - Servidor de mídia descomplicado

» Últimas dicas

ZPanel - Instalação no CentOS 6.X 64 bits Adicionando cor ao comando echo Enviando e-mail com Mutt no Ubuntu 10.04.4 LTS Gravando Mageia 3 no pendrive Comandos úteis do HP-UX para administradores GNU/Linux Como fazer para que comandos não sejam gravados no histórico Enviando alertas de e-mail pelo Zabbix usando Gmail, CentOS e Postfix Chromium no Fedora 18

» Últimos scripts

[Shell Script] Backup com mysqldump [Shell Script] 4net.sh - Calcula velocidade de transmissão na rede [Shell Script] Jogo de labirinto feito em shell script [Perl] Descobrir operadora de celular [Shell Script] Pingmon1.0 - Ping Timeout Monitor

Intranet Open Source

Treinamento Zope Plone

» Destaques

4Linux doa 40 cursos para marcar o lançamento da nova Formação Profiss... (1) NETi TECNOLOGIA: Vagas - SYSADMIN - Sorocaba (0) NETi TECNOLOGIA: Vagas - Suporte técnico - Sorocaba (0) V Fórum de Software Livre de Duque de Caxias (0)

» Screenshot

Por chronos

» Login

» Top 10 do mês

Lisandro Guerra (138362 pts) Xerxes Lins (98821 pts) André L. (pinduvoz) (80003 pts) Daniel Lara Souza (74801 pts) João (74585 pts) Alberto Federman Neto. (66037 pts) Fábio Berbert de Paula (62537 pts) Alessandro de Oliveira Faria (A.K.A. CABELO) (58823 pts) Luís Fernando C. Cavalheiro (51902 pts) Vitor Luis (41805 pts)

[Ranking Geral]

» Perguntas

Squid timeout alguns sites (2) Backup de máquina virtual (1) TECLADO PARA DE FUNCIONAR (0) Dúvida Webacula + BaculaWeb (Apache) [RESOLVIDO] (6) Comando rsync não roda [RESOLVIDO] (6) meu pc não aceita o S.O Linux (3) Fedora vs OpenSUSE ?? (2) Direcionamento de porta (3)

» .Conf

[Portage] make.conf - make.conf para Funtoo [bash] .bashrc - Configuração do bash [ProFTPD] proftpd.conf - ProFTPD com módulo de SFTP [portage] make.conf - make.conf para Gentoo/Xfce estável [Conky] conkyrc - Conky adaptado para Gentoo

Artigo

Pentesting on PHP apps: XSS

andrezc
12/09/2012

Neste artigo veremos um simples Pentest em uma aplicação PHP, onde injetamos códigos em uma aplicação, conseguindo interpretar estes mesmos códigos, podendo realizar uma possível prática de phishing.

Por: André Rosa | Blog: http://nocivoeostensivo.blogspot.com.br/

[ Hits: 5401 ]

Conceito: 10.0 1 voto(s)

+ quero dar nota ao artigo

Denuncie + Favoritos

Versão para impressora

Indicar para um amigo

Enviar artigo

Introdução

O artigo fora escrito, inicialmente, para o fork do Viva o Linux, que era o Segurança Linux. Por isso, talvez você encontre referências às informações do Segurança Linux, como endereço, nome etc; nada que comprometa a integridade do artigo.

Autor: André S. Rosa Junior
Tema: Pentest
Plataforma: Web

* Nota 1: Todas as informações apresentadas neste artigo foram obtidas na Internet, sendo assim, não ofereço nenhum tipo de garantia ou suporte. Não nos responsabilizamos por qualquer dano ocorrido, tanto na máquina (computador) quanto no software. Siga por sua conta e risco.

* Nota 2: Para realizar um Pentest, ou uma intrusão, você deve ter autorização. Caso contrário, tal ato pode ser considerado crime, sujeito a punições cabíveis. Todos os testes feitos neste artigo foram autorizados.

Neste artigo iremos realizar um simples pentest, onde tentaremos injetar códigos em um formulário, tentando assim, interpretar estes mesmos códigos.

Caso consigamos interpretar estes mesmos códigos, podemos "criar" nossa própria aplicação em cima disso, com o intuito de realizar phishing, ou melhor dizendo, roubar informações.

Aqui utilizaremos uma técnica chamada XSS, que junto à outras técnicas, como o Clickjacking, podemos fazer um estrago. E posso afirmar que, em 80% dos testes que eu faço neste tipo de aplicação, 90% está vulnerável.

O que é XSS

O XSS (Cross-site scripting) é uma vulnerabilidade muito comum em aplicações WEB (PHP, ASP...), onde podemos injetar códigos HTML e JavaScript nesta mesma aplicação, podendo assim, "modificar" esta página da forma que bem desejarmos.

- Mas isso é Defacement?

R: Não!

Ou melhor, depende do ponto de vista de quem está a explorar. Eu, por exemplo, não vejo o porque de usar isto apenas para "mexer" nos sites alheios para "zoar".

Pois isso é uma vulnerabilidade que permite muito mais, o que falaremos mais a frente, que são as possibilidades. :)

O ataque XSS

Vou tentar explicar a vocês como funciona esta "belezinha". Vamos supor que você tenha um pequeno formulário, escrito em HTML, um botão, que tem como ação enviar o que foi digitado para uma segunda página, a página que conterá os scripts PHP.

A única coisa que este script PHP fará, é criar uma variável pegando o método de envio do formulário (POST/GET) e criando uma variável em cima disso. Logo após, o mesmo irá retornar:

Olá $variável

Esta "variável", depois do "Olá", seria a variável contendo o que haviam digitado no campo de texto.

Agora, vamos supor que ele coloque uma tag HTML no campo de texto, o que será que nos seria retornado na página PHP ? ;*

Vamos ver isso na próxima página!

Let's hack it!

Próxima página >>

Páginas do artigo

   1. Introdução
   2. Exemplo de script - Testes
   3. Vulnerabilidade - Formulários - Possibilidades

Outros artigos deste autor

Trabalhando com classes e métodos em Java

OpenSUSE - Uma ótima opção de distribuição

Variáveis, if, else e unless em Ruby

Introdução ao Anonimato na Web - Web Anonimity

Recuperando arquivos em um Windows corrompido com Linux

Leitura recomendada

Criptografando mensagens com PHP

Dicas básicas de segurança no PHP

Criptografia do método GET no PHP

Vulnerabilidade em formulário PHP

PHP: Programando com segurança

Comentários

[1] Comentário enviado por andrezc em 12/09/2012 - 13:15h:

Na primeira imagem, talvez pareça que cometi um erro de inglês: "You are secure?", mas esse "?" e a inversão da frase quis por em o "questionamento de uma certeza"; Estou seguro! (?).

Espero que gostem.

[2] Comentário enviado por roberto_espreto em 12/09/2012 - 20:45h:

No caso do seu código ai acima, só de ver dá pra saber que pra gerar o "alerta" não necessariamente preciso utilizar as tags <script>, </script>, existem outras alternativas, por exemplo, com onload, onerror, onmouseover, etc. Cara, as que eu me lembro, tem umas 20 maneiras, mas existem bem mais, segue as que citei:

<body onload=alert('Espreto')>
<img src="http://url.para.arquivo/que.nao.existe" onerror=alert(document.cookie);>
<body onmouseover=alert('Espreto! Oops ')>click me!</b>

Outra coisa interessante é que existem classificações de Cross-Site Scripting (XSS): reflected, stored, dom-based e vai.

Não recomendo seguir este link que você postou como "possível solução" e sim o modelo que já existe a anos, que é o "XSS (Cross Site Scripting) Prevention Cheat Sheet [1]", mantido pela OWASP [2] (Open Web Application Security Project).

[1] https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet">https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
[2] https://www.owasp.org/

Abs,

[3] Comentário enviado por andrezc em 13/09/2012 - 09:06h:

Valeu pelos toques, Roberto!

Artigo

Home » Artigos » PHP » Segurança » Visualização de artigo

Pentesting on PHP apps: XSS

Introdução

O que é XSS

O ataque XSS

Viva o Linux