Este documento fornece instruções sobre como explorar vulnerabilidades de cross-site scripting (XSS) de forma sutil para redirecionar formulários de login, usar keyloggers e compartilhar arquivos e abas. Também discute como obter acesso remoto através de shells e explorar vulnerabilidades do Java e aplicativos móveis.
2. AVISO PADRÃO
O conteúdo aqui apresentado representa minhas próprias conclusões e opiniões
e não as de meus empregadores, clientes e etc.
Não há intenção de causar nenhum danos a terceiros. A utilização do conteúdo
apresentado é fruto de pesquisa e deve ser utilizado apenas em ambientes
autorizados.
3. /me
= dedo podre para quebrar coisas
== alguém que gosta de compartilhar coisas
== fã de Danny Trejo
!= rockstar de SegInfo
@0xc0da
4. Premissas
Todos sabemos o que é Cross Site Scripting (XSS).
Nada de evasão de filtros hoje, galera.
Nada de über1337h4x0rninjaskillz. Vamos do jeito
“fácil” dessa vez. ;-)
5. Um dia você encontrou um XSS
medonho em uma aplicação.
40. Agradecimentos especiais
Esta palestra não seria possível sem a colaboração de algumas
pessoas, em especial minha namorada Renata Senna (design da capa
e fundo dos slides), os amigos Vanessa Maia, Sávio Mendes,
Alexandre Pinaffi, Alan Markus, Jaime Souza, Tiago Bitarelli Gomes
e Eduardo França.
Meu muito obrigado também a equipe da Bsides SP pela dedicação e
execução do evento.