Oficina de XSS

De Garoa Hacker Clube
Revisão de 15h06min de 20 de janeiro de 2015 por Draks (discussão | contribs) (corrigido data do evento)
Ir para navegação Ir para pesquisar
ParanioaHacker.png


Objetivo

Aprender a usar técnicas básicas de Cross-site scripting de maneira manual, aplicar alguns métodos de evasão e criar um cookie stealer.

Quando, onde, como, quem

Quando
3a feira, 27/jan/2015, 19:30
Onde
Sede do Garoa Hacker Clube
Inscrições
Não é preciso se inscrever, basta aparecer. Esta é mais uma atividade aberta e gratuita do Garoa Hacker Clube.
Pré-requisitos
Noções básicas de HTML, Javascript e PHP.
Professor
Michel 'draks' Barbosa

Descrição

Ataques de Cross-site scripting (XSS) são ataques de injeção de código, tradicionalmente executados através da inserção de scripts maliciosos em sites legítimos e conhecidos. O ataque efetivamente acontece quando o atacante usa uma aplicação web para enviar códigos maliciosos, geralmente na forma de um script, para diferentes usuários do website.

Como o browser do usuário final não tem conhecimento de qual script da página é malicioso ele executará todo o código, sendo capaz de acessar os cookies, tokens de sessão e outras informações sensíveis relacionadas ao site atacado e armazenadas no browser, sendo possível inclusive reescrever o conteúdo HTML da página atacada.

https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)

Nesta oficina vamos entender como testar um site para XSS com o auxílio do Gruyere (http://google-gruyere.appspot.com/), uma aplicação intencionalmente vulnerável disponível para testarmos vários tipos de ataque, aprendendo também a necessidade de evasão em alguns cenários. Também iremos criar uma aplicação para coletar cookies roubados (cookie graber ou cookie stealer) e testar a efetividade dos ataques realizados para roubo da informação de sessão.