XSS para além do document.cookie

De Garoa Hacker Clube
Revisão de 11h52min de 6 de fevereiro de 2018 por Abrasax (discussão | contribs) (Criou página com 'Atualmente é impossível tratar o tema vulnerabilidades web sem deixar de comentar sobre o XSS (Cross Site Scripting), sabemos que ele está lá e sabemos que ele é muito po...')
(dif) ← Edição anterior | Revisão atual (dif) | Versão posterior → (dif)
Ir para navegação Ir para pesquisar

Atualmente é impossível tratar o tema vulnerabilidades web sem deixar de comentar sobre o XSS (Cross Site Scripting), sabemos que ele está lá e sabemos que ele é muito poderoso, mas será que sabemos como explorar? A proposta dessa aula é explorar as diversas possíbilidades do XSS e ir além do alert(document.cookie), seja mostrando a criaçao de worms baseados em web até a criação de botnets a partir de brechas existentes em sites reais. Os tópicos abordados serão (sujeito a alteração):

  • Uma breve explicação de XSS
    • Diferentes tipos de XSS
    • o Poder do DOM e algumas experiencias que eu tive com defaces reais
  • O famoso cookie-logger
  • Desenvolvendo Worms como sammy is my hero usando XSS
  • Criação de botnets a partir do beef-xss

Material da aula

O material da aula será disponibilizado em breve nesta seção. (Antes da apresentação)

Pré requisitos

O teor desta apresentação exige níveis intermediários de desenvolvimento web em conhecimento sobre Javascript, HTML e CSS. Também é interessante compreender o funcionamento da vulnerabilidade XSS.

Palestrante

Matheus Vrech (aka abrasax)

Disponível em “https://garoa.net.br/mediawiki/index.php?title=XSS_para_além_do_document.cookie&oldid=26260