Köszönöm reeplexnek, hogy elindította ezt a vitát. Igazán nagyszű lenne, ha több embert is sikerülne bevonnunk a témába. Úgy tűnik rengeteg a tévhit a XSS-gel kapcsolatban. Remélem meg tudjuk válaszolni a kérdéseiteket egyszer és mindenkorra.

> 1) A XSS nem [biztonságtechnikai] szakmába vágó,akárhogy is használják

Az XSS annyira vág  a szakmába amennyire. Lehet nagyon is szakmbelii téma, de lehet hogy egyáltalán nem az. XSS alatt sok féle módszert értünk, mint ahogy pl. a bináris szoftverek buffer túlcsordulásos támadásainak esetében is. Metakarakterek beszúrása egy weboldalba még nem jelent semmit...úgyanúgy, ahogy akarakterek beszúrása egy bufferbe sem jelent semmit. Az az érdekes, hogy hogyan használod ki a lehetőségeidet. Tartsd észben, hogy XSS esetében a buffer overflow-khoz nagyon hasonló körülményekkel kell számolnunk: megkötéseink vannak a használható karakterekre és a méretükre. Úgyanígy, a buffer overflow-k és a hozzájuk köthető támadásokhoz hasonlóan itt is nagyon odakell figyelnünk a végrehajtás menetét és azt, hogy minél inkább észrevétlenek maradjunk.

> 2) Azok akik XSS-et használnak pentestek/valódi hackek/akármi más során (kivéve phishing) lámák, mivel nem tudnak valódi (nem webes) exploitokat írni, vagy nem tudnak rendes webes hibákat találni (SQL injection, parancsfuttatás, file include, akármi)

Más időket élünk. A Web az egyetlen dolog amire szükségünk van, és a böngésző az alapvető platform. A XSS az egyetlen valódi lehetőség arra, hogy megbízhatatlan kódot futtassunk egy megbízható tartományon anélkül, hogy a böngésző sebezhetőségére kellene támaszkodnunk. SQL injection és file beszúrásos támadásokkal én is naponta találkozom, de ezekkel kapcsolatban a támadási felület jelentősen behatárolt a modern alkalmazások által használt keretrendszerek miatt. Egyébként miért lenne szükséged SQL injectionre, ha a szükséges lépéseket a felhasználókkal is elvégeztetheted XSS segítségével? Ez biztonságosabb és nehezebb észrevenni. Ha meg akarsz változtatni néhány adatot, vagy ki akarsz nyerni valamilyen adatot, a XSS teljesen elfogadható támadás.

Azoknak az embereknek, akiket XSS-et hasznánli láttam jelentős múltjuk van a tradicionális támadási módszerek terén is. Persze kevesen vannak ilyenek, mivel a téma még nem érwett meg eléggé. Nem akarok neveket említeni, mert az udvariatlanság lenne, de szívesen venném ha becsatlakoznátok a beszélgetésbe.

3) A XSS-nek nincs helye ezen a listán, mint ahogy más biztonságtechnikai listán sincs, úgy emlékszem, hogy volt olyan ötlet is, amely szerint csinálni kéne egy külön bugtraqt a XSS-nek. Ezt még mindig jó ötletnek tartanám.

A FD egy általános biztonságtechnikai lista. A XSS egy biztonságtechnikai "tudományág" [diszciplína]. Emiatt a XSS-nek is helye kell hogy legyen a FD-ön, mint a többi más bizttonságtechnikai témának is. Persze, ha valaki komolyan akar foglalkozni a XSS-gel, egy csomó más helyen is tájékozódhat. Mi több, úgy érzem, hogy a FD-re történő írás értelmetlen. A lista ellenőrizhetetlen, és sokakkal együtt én is úgy gondolom, hogy nem éri meg a fáradtságot avele való törődés. Ha tanulni akarsz valamit, olvass blogokat [bezony ;)]!

> 4) Ha egy audit végén csak XSS-t tudsz felmutatni, akkor elbuktál, és a megrendelőnek visszatérítéssel tartozol.

Nem igaz. Ha nem tudnád, a XSS top-prioritás manapság. Ott van szinte minden webalkalmazásban. Nem tudom, hogy kinek dolgozol, vagy hogy csináltál-e már auditot, de el kell mondanom valamit: az embereket érinti a XSS, és félnek is tőle. Azt kell mondanom, hogy bár tátongó lyukakat kell betömnünk az emberek ismeretanyagában, de napról napra jobb a helyzet. Ma a cégeket a Web2.0 érdekli. Érdekli őket, hogy milyen hatással van ez az új technlógia a szervezetükre. Sok dolog van ami miatt aggódnak is. És ezek közül az egyik a XSS.

Régebben a XSS-eket alacsony vagy néha közepes veszélyességűnek minősítettem. Ma már, ha nem autentikáltak, magasra értékelem őket. Miért? Nyisd ki a szemed! A XSS nem csak arról szól, hogy kódot futtatsz az áldozat gépén. Sok dolgot megtehetsz. Tudtad, hogy ha a CNN oldala sebezhető lenne, én meg beszúrnék rá pár Google-s addot, majd elterjeszteném a megfelelő linket néhány közösségi bookmark oldalon egy halom pénzt kereshetnék? Gondlj bele!

a) A CNN oldala nagyon fontos
b) Az klikkek többe kerülnek
c) A közösségi könyvjelzőzés egy életforma (lásd DIGG)
d)  A közösségi könyvjelzők spammelhetők (nézz utána az OnlyWire-nek)
[Töredelmesen bevallom, hogy jelenleg nem igazán értem hogy mire megy itt ki a játék, ha valakinek van ötelete, ne habozzon megosztani!]

Mindened megvan egy sikeres támadáshoz. Mi a helyzet a cikkek hamisításával? Vagy ott van a Black PR, vagy a Black SEO. Csak a képzeleted szabhat határt. Sajnos néhányak nincs elég fantáziájuk, úgyhogy utat kell nekik mutatni.

A XSS több lehetőséget rejt, mint bármilyen másik ma létező támadási forma. Ez a Web méretéből adódik. Ha elkezded összerakni a dolgot, megérted miről beszélek. Ti, akik a XSS-et egy kalap szarnak gondoljátok, egyszerűen lekésitek a vonatot és ezzel a csáds utazást is. Sok szerencsét!

> 5) XSS-ek publikálásával csak a saját gyengeségedet mutatod meg, és azt, hogy nem vagy képes rendes bugokat találni

A XSS-ek publikálása ugyanolyan hülyén veszi ki magát mint a DoS-eké, mivel nem fektettél elég energiát energiát abba, hogy megtudd, hogyanis lehet a felfedezésed ténylegesen kihasználni. Ezen kívűl XSS publikálása nem is etikus, hanem helytelen és abba kellene hagyni. vagy legalábbis hencegni vele nem kéne. Ugyanakkor csak az, hogy találsz egy XSS lehetőséget, nem jelenti azt, hogy hülye vagy. Vannak nagyon ügyes XSS támadások, amelyeket okos emberek találtak ki. Mégegyszer, nem szeretném őket bevonni ebbe a beszélgetésbe akaratuk ellenére, személyesen fogom őket megkeresni azzal kapcsolatban, hogy meg akarnak-e jelenni itt.

reepex, sajnálom, de minden állításod alaptalan. Többet vártam tőled, főleg az után, hogy néhány privát e-mailt is váltottunk. néha úgy érzem, hogy tudod miről beszélsz. Valóban tudsz valamennyit, de most komolyan...állj elő valami szaftossal...

üdv,
pdp