Clasificación de riesgo de XSS autenticado

3

Durante una prueba de seguridad, me preguntaba cuál sería la clasificación de riesgo en una vulnerabilidad XSS autenticada. Entiendo que depende de los esquemas de clasificación, por lo que el enfoque en esta pregunta es "¿cuáles son los riesgos restantes?" y se clasificaría (conjetura) como baja, media, alta o crítica.

La vulnerabilidad:

Un usuario autenticado puede inyectar JavaScript en una parte del sitio web / aplicación a la que solo pueden acceder otros usuarios autenticados.

Restricciones:

  1. Hay diferentes roles / grupos de usuarios, pero solo un grupo específico puede acceder a la parte del sitio (con diferentes roles).
  2. Las cookies de autenticación tienen la marca HTTPonly
  3. No es directamente después del inicio de sesión, el usuario debe hacer clic en un par de pantallas para acceder a la parte / publicación realmente vulnerable
pregunta Wealot 23.03.2017 - 13:14
fuente

3 respuestas

1

Si bien CVSS no es bueno para estimar situaciones específicas, puede obtener una buena estimación.

Para XSS autenticado autenticado, sería medio: CVSS: 3.0 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I : L / A: N

El problema aquí es que sus diferentes roles no tienen ningún significado. Cualquier usuario podría realizar acciones en cualquiera de los roles a través de XSS. Lo malo que es realmente depende de su aplicación.

Con respecto a sus restricciones:

  1. Este es el punto crítico al clasificar el riesgo para su situación específica. ¿Qué diferentes roles tienen los usuarios? ¿Algunos tienen significativamente más derechos que otros? ¿Puede alguien ejecutar código? ¿Hay datos privados que solo deben ser leídos o modificados por ciertos roles? ¿Tiene mitigaciones no técnicas (por ejemplo, todos los usuarios firmaron NDA, todos los usuarios son de confianza, puede identificar y demandar a los que realizan ataques, etc.).
  2. enlace
  3. Si es una página muy oscura que nadie realmente visita, eso reduciría la calificación, ya que tienes que tener suerte o agregar ingeniería social para realizar un ataque exitoso. Incluso en CVSS, podría argumentar que la interacción del usuario sea obligatoria (aunque la calificación aún es media).
respondido por el tim 23.03.2017 - 15:02
fuente
1

Si está asignando clasificaciones de riesgo como baja / media / alta, generalmente comienzo clasificando el XSS almacenado como de alto riesgo:

  
  • Hay diferentes roles / grupos de usuarios, pero solo un grupo específico puede acceder a la parte del sitio (con diferentes roles).

  •   
  • Las cookies de autenticación tienen la marca HTTPonly

  •   

Estos pueden ser factores atenuantes para reclasificarlo como un riesgo medio. La pregunta radica en si la escalada de privilegios horizontal ofrece alguna ventaja al atacante.

por ejemplo ¿Hay datos privados a los que un atacante podría acceder solo disponibles dentro de la sesión comprometida?

Si todos los usuarios del grupo pueden ver y afectar los mismos datos, no los clasificaría como de alto riesgo.

Aunque estoy un poco confundido por tu redacción

  

grupo específico (con diferentes roles)

Si estos roles tienen acceso a cosas diferentes, esto probablemente sería suficiente para dejarlo como un alto.

    
respondido por el SilverlightFox 23.03.2017 - 15:01
fuente
0

La vulnerabilidad de XSS se encuentra en la categoría "Alta" o "P1".

  1. Las cookies con la marca Httponly con previenen el JavaScript inyectado para acceder a las cookies de autenticación, pero hay varios otros ataques posibles con rogue js (como simple alerta)
  2. El acceso basado en roles limitará pero no eliminará la vulnerabilidad
  3. La ubicación de la página vulnerable importará un poco en caso de decidir la prioridad del error.
respondido por el Vishal 23.03.2017 - 14:36
fuente

Lea otras preguntas en las etiquetas