Classificazione del rischio di XSS autenticato

3

Durante un test di sicurezza mi chiedevo quale sarebbe stata la classificazione del rischio in una vulnerabilità XSS autenticata. Comprendo che dipende dagli schemi di classificazione, quindi l'attenzione in questa domanda è "quali sono i rischi rimanenti?" e sarebbe classificare (guess-timate) come basso, medio, alto o critico.

La vulnerabilità:

Un utente autenticato può inserire JavaScript in una parte del sito Web / dell'applicazione accessibile solo da altri utenti autenticati.

Vincoli:

  1. Esistono diversi ruoli / gruppi di utenti, ma la parte del sito è accessibile solo da un gruppo specifico (con diversi ruoli).
  2. I cookie di autenticazione hanno il flag HTTPonly
  3. Non è direttamente dopo il login, l'utente deve effettivamente fare clic su un paio di schermate per arrivare alla parte / post effettivamente vulnerabile
posta Wealot 23.03.2017 - 13:14
fonte

3 risposte

1

Sebbene il CVSS non sia ottimo per stimare situazioni specifiche, puoi ottenere una buona stima.

Per XSS persistente autenticato, sarebbe medio: CVSS: 3.0 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I : L / A: N

Il problema qui è che i tuoi diversi ruoli sono effettivamente privi di significato. Qualsiasi utente può eseguire azioni in uno qualsiasi dei ruoli tramite XSS. Quanto male dipende in realtà dalla tua applicazione.

Riguardo ai tuoi vincoli:

  1. Questo è il punto critico quando si classifica il rischio per la propria situazione specifica. Quali ruoli diversi hanno gli utenti? Alcuni hanno molti più diritti di altri? Qualcuno potrebbe forse eseguire codice? Esistono dati privati che dovrebbero essere letti o modificati solo da determinati ruoli? Hai delle attenuazioni non tecniche (ad esempio, tutti gli utenti hanno firmato NDA, tutti gli utenti sono affidabili, puoi identificare e citare in giudizio quelli che eseguono attacchi, ecc.)
  2. link
  3. Se si tratta di una pagina molto oscura che nessuno visita realmente, ciò ridurrebbe il punteggio, in quanto dovrai essere fortunato o aggiungere l'ingegneria sociale per eseguire un attacco di successo. Anche in CVSS, potresti discutere di impostare l'interazione dell'utente su richiesta (la valutazione è ancora media sebbene).
risposta data 23.03.2017 - 15:02
fonte
1

Se si assegnano valutazioni del rischio come bassa / media / alta, di solito partecipo classificando XSS memorizzato come ad alto rischio:

  • There are different roles/groups of users, but the part of the site is only accessible by a specific group (with different roles).

  • Authentication cookies have the HTTPonly flag

Questi possono essere fattori attenuanti per riclassificarlo come un rischio medio. La domanda è se l'escalation dei privilegi orizzontali offra a un attaccante qualsiasi vantaggio.

es. ci sono dati privati che un utente malintenzionato potrebbe accedere solo disponibili all'interno della sessione compromessa.

Se tutti gli utenti del gruppo possono vedere e influenzare gli stessi dati, non lo classificherei come ad alto rischio.

Sono un po 'confuso dal testo ma

specific group (with different roles)

Se questi ruoli hanno accesso a cose diverse, probabilmente sarebbe sufficiente lasciarlo come un livello elevato.

    
risposta data 23.03.2017 - 15:01
fonte
0

La vulnerabilità XSS si trova nella categoria "Alta" o "P1".

  1. I cookie con flag Httponly impediscono al JavaScript immesso di accedere ai cookie auth ma ci sono vari altri attacchi possibili con rogue js (come avviso semplice)
  2. L'accesso basato sul ruolo limiterà ma non eliminerà la vulnerabilità
  3. La posizione della pagina vulnerabile è un po 'importante in caso di decisione sulla priorità del bug.
risposta data 23.03.2017 - 14:36
fonte

Leggi altre domande sui tag