Software Público Brasileiro

Prezados,

Aqui na CVM, a execução da ferramenta de análise de XSS no SEI acusou diversos arquivos como suspeitos.
Em alguns dos casos de falso-positivos que eu verifiquei, o código HTML havia sido gerado pelo Microsoft Outlook. Entre outras coisas consideradas suspeitas pela ferramenta estavam trechos de código como este:






Atenciosamente,

[http://www.intranet.cvm/export/sites/cvm/menu/comunicacao/modelos-materiais-trabalho/logo.jpg] Andréia Luna
GSI/STI
Comissão de Valores Mobiliários
Tel: +55 (21) 3557-8537 | Site: www.cvm.gov.br

Boa tarde, Andréia.

Esse é o comportamento esperado da versão 3.0.10!
A previsão é que haja um número grande de falso positivos. O ideal é que, a
partir deste ponto, os documentos externos sejam sempre no formato PDF para
evitar esse tipo de problema.
No caso do código bloqueado que você apresentou, o problema são as tags de
comentários e condições, que podem ser usadas para realizar ataques de XSS.

Atenciosamente,

*Victor Hugo Lobo Alves*
Ministério do Planejamento, Desenvolvimento e Gestão
Equipe SEI - CAPGov/COPPE/UFRJ

2018-04-10 14:49 GMT-03:00 Andréia Miranda de Luna :

> Prezados,
>
>
>
> Aqui na CVM, a execução da ferramenta de análise de XSS no SEI acusou
> diversos arquivos como suspeitos.
>
> Em alguns dos casos de falso-positivos que eu verifiquei, o código HTML
> havia sido gerado pelo Microsoft Outlook. Entre outras coisas consideradas
> suspeitas pela ferramenta estavam trechos de código como este:
>
>
>
>
>
>
>
>
>
>
>
>
>
> Atenciosamente,
>
>
>
> [image:
>http://www.intranet.cvm/export/sites/cvm/menu/comunicacao/modelos-materiais-trabalho/logo.jpg]
> * Andréia Luna*
> GSI/STI
>
> Comissão de Valores Mobiliários
> * Tel:* +55 (21) 3557-8537 | * Site:* www.cvm.gov.br
>
>
>
>
>
> _______________________________________________
> sei-tecnico mailing list
> sei-tecnico@listas.softwarepublico.gov.br
>https://listas.softwarepublico.gov.br/mailman/cgi-bin/listinfo/sei-tecnico
>
>

Bom dia Andrea e victor,


Victor como posso saber quais são as tags permitidas por padrão?
Outra pergunta é se o xss aceita css.

Att


[http://www.ans.gov.br/portal/img/email/assinaturaANS6.jpg]

Bruno Salis Marins
Analista de Sistemas
Coordenadoria de Sistemas Aplicativos
COSAP/GETI/DIGES
(21) 2105-0290
0800 701 9656 / www.ans.gov.br


ANS. Há 15 anos a agência reguladora de planos de saúde do Brasil.

[cid:part4.08070306.04060800@ans.gov.br]
Antes de imprimir, pense em sua responsabilidade e compromisso com o meio ambiente.



De: sei-tecnico Em nome de Equipe SEI
Enviada em: terça-feira, 10 de abril de 2018 16:50
Para: Andréia Miranda de Luna
Cc: sei-tecnico@listas.softwarepublico.gov.br; Luciano Porto Barreto ; Elizabeth Messias Feitosa
Assunto: Re: [sei-tecnico] SEI/CVM - varredura XSS

Boa tarde, Andréia.

Esse é o comportamento esperado da versão 3.0.10!

A previsão é que haja um número grande de falso positivos. O ideal é que, a partir deste ponto, os documentos externos sejam sempre no formato PDF para evitar esse tipo de problema.
No caso do código bloqueado que você apresentou, o problema são as tags de comentários e condições, que podem ser usadas para realizar ataques de XSS.

Atenciosamente,
Victor Hugo Lobo Alves
Ministério do Planejamento, Desenvolvimento e Gestão
Equipe SEI - CAPGov/COPPE/UFRJ

2018-04-10 14:49 GMT-03:00 Andréia Miranda de Luna >:

Prezados,

Aqui na CVM, a execução da ferramenta de análise de XSS no SEI acusou diversos arquivos como suspeitos.
Em alguns dos casos de falso-positivos que eu verifiquei, o código HTML havia sido gerado pelo Microsoft Outlook. Entre outras coisas consideradas suspeitas pela ferramenta estavam trechos de código como este:






Atenciosamente,

[http://www.intranet.cvm/export/sites/cvm/menu/comunicacao/modelos-materiais-trabalho/logo.jpg] Andréia Luna
GSI/STI
Comissão de Valores Mobiliários
Tel: +55 (21) 3557-8537 | Site: www.cvm.gov.br



_______________________________________________
sei-tecnico mailing list

sei-tecnico@listas.softwarepublico.gov.br

Boa tarde, Bruno.
É possível identificar todos os bloqueios analisando o arquivo
*[diretorio_rais]/infra/infra_php/vendor/voku/anti-xss/src/voku/helper/AntiXSS.php*
.
Por padrão, não há tags *permitidas*. No máximo elas não foram bloqueadas.
Então você tem que analisar quais foram bloqueadas. Você pode editar o
atributo 'XSS' no arquivo ConfiguracaoSEI.php para permitir tags que
estejam na lista de bloqueados.
O verificador de XSS não aceita a tag style, portanto, não aceita css
dentro dessa tag.

Atenciosamente,
*Victor Hugo Lobo Alves*
Ministério do Planejamento, Desenvolvimento e Gestão
Equipe SEI - CAPGov/COPPE/UFRJ

2018-04-11 9:29 GMT-03:00 Bruno Salis Marins :

> Bom dia Andrea e victor,
>
>
>
>
>
> Victor como posso saber quais são as tags permitidas por padrão?
>
> Outra pergunta é se o xss aceita css.
>
>
>
> Att
>
>
>
>
>
> [image: http://www.ans.gov.br/portal/img/email/assinaturaANS6.jpg]
>
> *Bruno Salis Marins*
> Analista de Sistemas
> Coordenadoria de Sistemas Aplicativos
> COSAP/GETI/DIGES
> (21) 2105-0290
> 0800 701 9656 / www.ans.gov.br
>
>
>
> ANS. Há 15 anos a agência reguladora de planos de saúde do Brasil.
>
> [image: cid:part4.08070306.04060800@ans.gov.br]
> Antes de imprimir, pense em sua responsabilidade e compromisso com o meio
> ambiente.
>
>
>
>
>
> *De:* sei-tecnico *Em
> nome de *Equipe SEI
> *Enviada em:* terça-feira, 10 de abril de 2018 16:50
> *Para:* Andréia Miranda de Luna
> *Cc:* sei-tecnico@listas.softwarepublico.gov.br; Luciano Porto Barreto <
> lbarreto@cvm.gov.br>; Elizabeth Messias Feitosa
> *Assunto:* Re: [sei-tecnico] SEI/CVM - varredura XSS
>
>
>
> Boa tarde, Andréia.
>
>
>
> Esse é o comportamento esperado da versão 3.0.10!
>
> A previsão é que haja um número grande de falso positivos. O ideal é que,
> a partir deste ponto, os documentos externos sejam sempre no formato PDF
> para evitar esse tipo de problema.
> No caso do código bloqueado que você apresentou, o problema são as tags de
> comentários e condições, que podem ser usadas para realizar ataques de XSS.
>
>
> Atenciosamente,
> *Victor Hugo Lobo Alves*
> Ministério do Planejamento, Desenvolvimento e Gestão
> Equipe SEI - CAPGov/COPPE/UFRJ
>
>
>
> 2018-04-10 14:49 GMT-03:00 Andréia Miranda de Luna > >:
>
> Prezados,
>
>
>
> Aqui na CVM, a execução da ferramenta de análise de XSS no SEI acusou
> diversos arquivos como suspeitos.
>
> Em alguns dos casos de falso-positivos que eu verifiquei, o código HTML
> havia sido gerado pelo Microsoft Outlook. Entre outras coisas consideradas
> suspeitas pela ferramenta estavam trechos de código como este:
>
>
>
>
>
>
>
>
>
>
>
>
>
> Atenciosamente,
>
>
>
> [image:
>http://www.intranet.cvm/export/sites/cvm/menu/comunicacao/modelos-materiais-trabalho/logo.jpg]
> * Andréia Luna*
> GSI/STI
>
> Comissão de Valores Mobiliários
> * Tel:* +55 (21) 3557-8537 | * Site:* www.cvm.gov.br
>
>
>
>
>
>
> _______________________________________________
> sei-tecnico mailing list
> sei-tecnico@listas.softwarepublico.gov.br
>https://listas.softwarepublico.gov.br/mailman/cgi-bin/listinfo/sei-tecnico
>
>
>