XSS para além do document.cookie

De Garoa Hacker Clube
Revisão de 06h56min de 23 de fevereiro de 2018 por Abrasax (discussão | contribs)
(dif) ← Edição anterior | Revisão atual (dif) | Versão posterior → (dif)
Ir para navegação Ir para pesquisar

Atualmente é impossível tratar o tema vulnerabilidades web sem deixar de comentar sobre o famosíssimo XSS (Cross Site Scripting), sabemos que ele está lá e sabemos que ele é muito poderoso, mas será que sabemos como explorar? A proposta dessa aula é explorar as diversas possíbilidades do XSS e ir além do alert(document.cookie), seja mostrando a criaçao de worms baseados em web até a criação de botnets a partir de brechas existentes em sites reais. Os tópicos abordados serão (sujeito a alteração):

  • XSS, uma breve introdução
    • O que é
    • Os principais tipos
    • O famoso cookie logger
  • O que vem depois do cookie logger? Experiências reais que tive com XSS
  • O XSS e o desenvolvimento de worms
  • Botnets com beef-xss e outras ferramentas
  • Onde seguir com o estudo?

Material da aula

O material da aula está disponibilizado no meu repositório do github: aqui, no caso rs.

Pré requisitos

O teor desta apresentação exige níveis intermediários de desenvolvimento web em conhecimento sobre Javascript, HTML e CSS. Todo o conteúdo referente a vulnerabilidade será introduzido durante o evento.

Palestrante

Matheus Vrech (aka abrasax) Contato: vrech [ at ] cocaine [ dot ] ninja