Lendo nossos feeds essa semana , nos deparamos com dois casos em que um simples XSS pode se transformar em um prejuízo imensurável para empresa.

No  primeiro caso, o site de uma empresa que oferecia um software no modelo SaaS (Software as a Service) teve seu serviço/software desfigurado via um XSS , ou seja, todo cliente que acessou a interface naquele momento viu ao invés dos belos gráficos, uma mensagem, pedindo a correção da falha em nome dos usuários do sistema.

Aqui fica difícil mensurar o valor do XSS , pois desconhecemos valores dos serviços da service-now.com  , bem como quantidade de usuários que provavelmente viram a tela modificada, mas ter seu domínio e site publicado em um site profissional reconhecido, bem como seus clientes e/ou futuros clientes terem visto o site desfigurado com certeza é uma quantia razoável o prejuízo.

Você vendo o post abaixo confiaria seus dados e necessidades a empresa citada ?  Vocês questionam a segurança dos serviços online que utilizam?

O post falando sobre a falha do service-now.com você ser lido em:  http://holisticinfosec.blogspot.com/2009/05/eweek-hypes-secure-saas-without.html

Outro caso interessante envolvendo uma falha XSS  nessa semana, foi o concurso do Strong Webmail ( http://www.strongwebmail.com ). O concurso desafiava hackers a  descobrirem falhas no seu sistema de webmail em troca de 10 mil dólares ( http://www.strongwebmail.com/secure/email/contests/hack ) . O sistema adicionou um novo mecanismo de segurança  onde para autenticar o usuário recebe dígitos para completar a autenticação via celular . Mas aproveitando de uma falha XSS, os desafiantes enviaram um e-mail para o CEO da empresa e fizeram o sequestro da conta do mesmo, tendo acesso a conta dele e logicamente sem o uso do PIN .

Alguns posts comentando sobre o assunto  “Quando um XSS vale 10 mil dólares”: http://www.cgisecurity.com/2009/06/when-xss-can-cost-you-10000.html .Também  foi citado na zdnet:  http://blogs.zdnet.com/BTL/?p=19318

Quanto valeu a falha, ou seja , o XSS em questão ? Diretamente 10 mil dólares mas e a imagem da empresa? Repercussão negativa na midia é praticamente incalculável. Ter um XSS no site é realmente algo que não podemos tolerar nos dias atuais (XSS é uma das falhas que encontramos com frequência fazendo verificações com o  N-Stalker Web Application Security).

Vale sempre lembrar para todos desenvolvedores ou profissionais de segurança que o OWASP TOP10 ( http://www.owasp.org/index.php/Brazilian#Tradu.C3.A7.C3.A3o_OWASP_TOP10 ) classifica o XSS como TOP 1 . Embora seja uma falha considerada  client side, já que a mesma  necessita, na maioria dos casos de um vetor, ou terceiro para o ataque, ela pode ser facilmente explorada. Existe uma excelente thread em pt_BR na OWASP-BR ( https://lists.owasp.org/pipermail/owasp-brazilian/2009-May/000589.html ) sobre “XSS é realmente uma vulnerabilidade ?” .

Portanto cuide-se contra ataques que exploram vulnerabilidades de Cross-Site Scripting (XSS) pois se seu sistema possuir outras falhas  isso poderá ser traumático para imagem  e segurança dos dados da sua empresa.

N-Stalker Research Team