Questo auto-XSS può essere esteso?

6

Ho una casella di testo che effettua una chiamata a un'API ogni volta che il testo è cambiato. L'API restituisce JSON ma esegue qualsiasi Javascript all'interno del JSON restituito (testato con Alert ()). Questo valore di casella di testo non è persistente, pertanto il salvataggio non determina un XSS memorizzato. Se il Javascript viene incollato nella casella di testo, viene automaticamente codificato e reso sicuro, è vulnerabile solo se lo script è digitato.

Oltre a un attacco di phishing in cui l'utente digita uno script nella casella di testo, ci sono altri attacchi che possono essere eseguiti da questo punto? Questo auto-XSS può essere incatenato a un altro attacco o è essenzialmente valido solo per il phishing?

    
posta iso123 23.11.2016 - 17:42
fonte

1 risposta

4

Non è un comportamento normale o accettabile per gli elementi dell'interfaccia utente eseguire il JavaScript fornito dall'utente. Sebbene questi bug possano essere difficili da sfruttare, devono essere corretti perché che esegue JavaScript corretti significa acquisizione completa dell'account .

UI Redress (aka clickjacking) può essere usato per popolare la casella di testo. Questa tecnica era utilizzata per sfruttare XSS autoinflitto su google . L'elemento X-Frame-Options dell'intestazione può essere utilizzato per mitigare questo attacco.

I worm javascript autogonfiati si sono diffusi su Facebook . I cattivi cercano sempre di convincere l'utente a fare cose cattive. Alcuni utenti sono più che felici di spararsi ai piedi, l'attaccante deve solo chiedere. Facebook ci ha mostrato che chiedere all'utente di copiare / incollare il testo dannoso è sufficiente per diffondere un worm.

TLDR; correggi i tuoi dannati bug!

    
risposta data 24.11.2016 - 00:26
fonte

Leggi altre domande sui tag