XSS para além do document.cookie

De Garoa Hacker Clube
Ir para: navegação, pesquisa

Atualmente é impossível tratar o tema vulnerabilidades web sem deixar de comentar sobre o XSS (Cross Site Scripting), sabemos que ele está lá e sabemos que ele é muito poderoso, mas será que sabemos como explorar? A proposta dessa aula é explorar as diversas possíbilidades do XSS e ir além do alert(document.cookie), seja mostrando a criaçao de worms baseados em web até a criação de botnets a partir de brechas existentes em sites reais. Os tópicos abordados serão (sujeito a alteração):

  • Uma breve explicação de XSS
    • Diferentes tipos de XSS
    • o Poder do DOM e algumas experiencias que eu tive com defaces reais
  • O famoso cookie-logger
  • Desenvolvendo Worms como sammy is my hero usando XSS
  • Criação de botnets a partir do beef-xss

Material da aula

O material da aula será disponibilizado em breve nesta seção. (Antes da apresentação)

Pré requisitos

O teor desta apresentação exige níveis intermediários de desenvolvimento web em conhecimento sobre Javascript, HTML e CSS. Também é interessante compreender o funcionamento da vulnerabilidade XSS.

Palestrante

Matheus Vrech (aka abrasax)