XSS è pericoloso quando l'applicazione web non ha una funzione login / register, l'utente non ha effettuato l'accesso o quando il sito web non memorizza informazioni sensibili dell'utente?
Certo!
È possibile inserire false informazioni in una pagina Web con XSS . Immagina che se Microsoft avesse uno striscione gigante sulla prima pagina affermando che avrebbe chiuso l'intera azienda, le sue azioni potrebbero diminuire significativamente, solo a causa di un attacco XSS, senza che nessuno effettuasse l'accesso.
XSS è ancora molto pericoloso perché può indurre un utente a rivelare informazioni sensibili che non sono nemmeno necessariamente al sito web che stanno visitando.
Può essere utilizzato per eseguire script, modificare la pagina, fornire altre informazioni, causare reindirizzamenti ecc.
Ok chiariamo alcuni scenari che poi giudichi
qualcuno ha trovato un XXS vuln nel tuo sistema di biglietteria aziendale. Quindi invia loro un collegamento malevolo. Così può prendere i privilegi sul sistema di biglietteria e leggere tutti i biglietti (potrebbe contenere utenti, password, crediti, ecc.) anche lui può prendere gli altri cookie.
qualcuno ha trovato XXS vuln e poi ha inviato un link dannoso con script di reindirizzamento a un sito Web dannoso. (può usare il browser vuln per eseguire Trojan, backdoor, keylogger, ecc.)
e se trovasse Vuln in qualche script pubblico che viene usato dai tuoi clienti, allora ha fatto i precedenti attacchi ai tuoi clienti?
Non è pericoloso?
Leggi altre domande sui tag xss